Modbus es el protocolo de referencia en las redes OT: PLCs, RTUs y dispositivos de campo leen y escriben registros a través del puerto TCP 502. No tiene autenticación ni cifrado propios: cualquier sistema que pueda alcanzar el dispositivo puede leerlo o comandarlo. Access Gate coloca identidad, política y cifrado delante de Modbus para que solo los sistemas autorizados se comuniquen con un controlador.
Qué Obtienes
- Denegación por defecto en el puerto 502. Nada llega al puerto Modbus del controlador a menos que una regla ACL explícita lo permita. Esto por sí solo elimina la exposición de "cualquier host en la LAN puede comandar el PLC".
- Acceso entre pares con alcance de identidad. Modbus suele ser máquina a máquina: un servidor SCADA o un historian consultando un PLC. Los permisos se definen entre activos (o grupos de activos), de modo que solo el host SCADA llega al PLC y ningún otro.
- TLS para un protocolo que carece de él. Modbus/TCP es texto plano. El gate puede envolver la sesión en TLS entre el maestro y sí mismo, y luego reenviar la solicitud al dispositivo de campo a través del segmento protegido, de forma que el tráfico viaja cifrado en tránsito y el PLC heredado no necesita ninguna capacidad criptográfica propia.
Configuración
- Agrega el controlador a un enclave — consulta Proteger un activo con enclaves.
- En Enclaves → [Your Enclave], agrega una regla
allowpara el protocolomodbus— otcp:{custom_port}si el dispositivo ejecuta Modbus en un puerto no estándar. - Establece el principal en el sistema específico que debe comunicarse con el PLC — normalmente otro activo (el servidor SCADA o el historian), o un grupo de hosts de consulta.
Ejemplo Práctico: Proteger un Enlace HMI-Bomba
Las imágenes siguientes muestran los comandos enviados desde un HMI hacia una bomba a través del Access Gate. El enclave está configurado para que solo el HMI pueda alcanzar esa bomba y enviarle comandos; ningún otro sistema en la red puede hacerlo.
Antes — solo control de acceso
Desde el HMI, leemos y luego escribimos la velocidad del VFD a 55, y detenemos la bomba.
Los comandos son procesados y recibidos por la bomba.
Después — agregar cifrado TLS
Abre la Advanced Configuration de la regla y habilita TLS. Access Gate mantiene un túnel TLS entre el HMI y la bomba para cifrar el tráfico. El tráfico Modbus viaja cifrado en tránsito desde el maestro hasta el Access Gate, que autentica la sesión, aplica la política del enclave y reenvía la solicitud al dispositivo de campo a través del segmento protegido. El PLC heredado no requiere ninguna capacidad criptográfica propia. Para conocer las diferencias respecto a Modbus/TCP nativo, consulta The Difference Between Secure Modbus and Modbus TCP.
Notas y Consideraciones
- No interrumpas el lazo de control. Antes de aplicar restricciones, observa el tráfico Modbus real para identificar qué sistemas consultan o comandan legítimamente el dispositivo. Activa primero la inspección y traduce los flujos observados en reglas, como se describe en el Quick start.
- Presupuestos de latencia. El ciclo de consulta de Modbus puede ser ajustado. La aplicación en línea agrega una pequeña cantidad determinista de latencia. Valida esto frente a los requisitos de tu ciclo de escaneo.
- Unit IDs detrás de un gateway. Un único endpoint Modbus/TCP puede representar múltiples dispositivos serie mediante unit ID. Mapea qué unit IDs se encuentran detrás de un gateway para que una regla cubra los dispositivos que corresponden.
- Otros protocolos OT. El mismo modelo de denegación por defecto con alcance de identidad se aplica a otros protocolos industriales en la red. Modbus es el punto de partida más común, no el único.