Modbus est le protocole de référence des réseaux OT — PLCs, RTUs et équipements de terrain qui lisent et écrivent des registres sur le port TCP 502. Il ne dispose ni d'authentification ni de chiffrement natifs : tout hôte capable d'atteindre l'équipement peut le lire ou lui envoyer des commandes. Access Gate place l'identité, la politique et le chiffrement devant Modbus afin que seuls les systèmes autorisés communiquent avec un contrôleur.
Ce que vous obtenez
- Refus par défaut sur le port 502. Rien n'atteint le port Modbus du contrôleur sans qu'une règle ACL explicite l'autorise. Cela seul supprime l'exposition « tout hôte du LAN peut commander le PLC ».
- Accès pair limité à l'identité. Modbus est généralement machine à machine — un serveur SCADA ou un historien qui interroge un PLC. Les autorisations sont définies entre assets (ou groupes d'assets), de sorte que seul l'hôte SCADA atteint le PLC, et rien d'autre.
- TLS pour un protocole qui n'en dispose pas. Modbus/TCP est en clair. La passerelle peut encapsuler la session en TLS entre le maître et elle-même, puis transmettre la requête à l'équipement de terrain sur le segment protégé — le trafic est ainsi chiffré en transit et le PLC legacy n'a besoin d'aucune capacité cryptographique propre.
Configuration
- Ajoutez le contrôleur à une enclave — voir Protéger un asset avec des enclaves.
- Dans Enclaves → [Your Enclave], ajoutez une règle
allowpour le protocolemodbus— outcp:{custom_port}si l'équipement utilise Modbus sur un port non standard. - Définissez le principal comme le système spécifique devant communiquer avec le PLC — généralement un autre asset (le serveur SCADA ou l'historien), ou un groupe d'hôtes d'interrogation.
Exemple concret : sécuriser une liaison HMI vers pompe
Les images ci-dessous tracent les commandes d'un HMI atteignant une pompe via l'Access Gate. L'enclave est configurée de sorte que seul le HMI peut atteindre cette pompe et lui envoyer des commandes — rien d'autre sur le réseau ne le peut.
Avant — contrôle d'accès uniquement
Depuis le HMI, nous lisons puis écrivons la vitesse du variateur à 55, et arrêtons la pompe.
Les commandes sont traitées et reçues par la pompe.
Après — ajout du chiffrement TLS
Ouvrez la section Advanced Configuration de la règle et activez TLS. Access Gate maintient un tunnel TLS entre le HMI et la pompe pour chiffrer le trafic. Le trafic Modbus est chiffré en transit du maître vers l'Access Gate, qui authentifie la session, applique la politique d'enclave et transmet la requête à l'équipement de terrain sur le segment protégé. Le PLC legacy n'a besoin d'aucune capacité cryptographique propre. Pour comprendre en quoi cela diffère du Modbus/TCP natif, voir The Difference Between Secure Modbus and Modbus TCP.
Remarques et points d'attention
- Ne pas rompre la boucle de contrôle. Avant d'appliquer les règles, observez le trafic Modbus réel pour identifier les systèmes qui interrogent ou commandent légitimement l'équipement — activez d'abord l'inspection et traduisez les flux observés en règles, comme dans le Quick start.
- Budgets de latence. L'interrogation Modbus peut être contrainte. L'application inline ajoute une latence faible et déterministe. Validez par rapport aux exigences de votre cycle de scrutation.
- Unit IDs derrière une passerelle. Un seul point de terminaison Modbus/TCP peut desservir plusieurs équipements série par unit ID. Identifiez quels unit IDs se trouvent derrière une passerelle afin qu'une règle couvre les équipements visés.
- Autres protocoles OT. Le même modèle de refus par défaut et d'accès limité à l'identité s'applique aux autres protocoles industriels du réseau — Modbus est le point de départ le plus courant, pas le seul.