Zugangs kontroll system mit einer 4x3 Tastatur & RFID-RC522

Ihr Code ist komplexer geschrieben, als er sein muss, und Sie haben viel wiederholten Code, der es schwieriger macht, den Code zu verstehen und zu ändern. Daher werde ich zunächst beschreiben, wie Sie Ihren Code verkürzen und verallgemeinern können. Das erleichtert die Implementierung neuer Funktionen, wie das Entwerten einer Karte nach 3 falschen PIN-Eingaben.

1. So richten Sie eine AWS Network Access Control List für SSH auf ein privates Subnetz ein

Als erstes muss definiert werden, was einige der Begriffe bedeuten. NACLS - Network Access Control Lists, sind ein zustandsloser Paketfilter, der auf Subnetzebene angewendet wird. Es ist wichtig, den „zustandslosen“ Aspekt im Auge zu behalten, das heißt, Sie müssen für den gesamten Datenverkehr, der in das Subnetz eintritt und es verlässt, explizit sein. Beispielsweise können Sie mit einem „State-Full“-Regelansatz (den die Sicherheitsgruppe in AWS anwendet) einfach den eingehenden Datenverkehr von TCP/22 für SSH angeben und der ausgehende Datenverkehr wird automatisch zugelassen. Bei NACLS ist dies nicht der Fall, Sie müssen eine Regel in jede Richtung angeben, um den Datenverkehr passieren zu lassen. Sicherheitsgruppen – Dies sind Gruppen von Regeln mit vollem Status, die auf eine oder mehrere Instanzen in einer VPC angewendet werden können. Beachten Sie, dass sie auf Instanzebene gelten. Die Sicherheitsgruppe kann mit einer herkömmlichen State-Full-Firewall verglichen werden, aber da sie auf der Ebene der einzelnen Instanzen angewendet wird, können Sie Instanzen sogar innerhalb desselben Subnetzes voneinander trennen, was nett ist. Und weil sie zustandsreich sind, müssen Sie sich keine Gedanken über die Erstellung einer entsprechenden ausgehenden Regel machen, wenn Sie Datenverkehr zu einem Server zulassen möchten (z. B. TCP/22 für SSH), die Plattform kümmert sich automatisch darum, also sie sind viel einfacher zu verwalten - was auch ein geringeres Fehlerrisiko bedeutet. Es gibt eine schöne Tabelle, die diese beiden vergleicht: VPC-Sicherheitsvergleich fließen . .. Also sieh dir das an. Dann haben wir in Bezug auf Subnetze: Öffentliches Subnetz – in AWS-Begriffen ist dies einfach ein Subnetz, an das eine Routing-Tabelle angehängt ist, die eine 0.0.0.0/0-Route über ein angehängtes Internet-Gateway hat. Privates Subnetz – das ist das Gegenteil, d.h. es hat keine 0.0.0.0/0-Route über ein angeschlossenes Internet-Gateway. Beachten Sie, dass es immer noch eine 0 haben kann. 0. 0. 0/0-Route über ein NAT-Gateway oder einen ähnlichen Proxy in Ihrer Umgebung, nur nicht direkt. Die Frage ist, wann Sie NACLS und Sicherheitsgruppen haben - welche verwenden Sie. AWS beschreibt NACLs als „optionale Sicherheitsebene für Ihre VPC“. Und es stimmt, dass Sicherheitsgruppen im Allgemeinen ausreichend sind, sie sind flexibler und bieten den gleichen Schutz. Meiner Erfahrung nach gibt es jedoch einige typische Fälle, in denen NACLS verwendet wird: AWS bietet auch einige Anleitungen zu einer Reihe von Konfigurationsszenarien, die hier verfügbar sind: Empfohlene Netzwerk-ACL-Regeln für Ihre VPC Meine Anleitung ist jedoch, dass Sicherheitsgruppen normalerweise einen geeigneten Schutz bieten und leichter zu verstehen sind und konfigurieren und sind flexibler und granularer in ihrer Anwendung. NACLs bieten Ihnen diesen zusätzlichen Rückhalt für menschliche Fehler oder fortgeschrittenere Konfigurationen, aber für den grundlegenden Gebrauch werden sie normalerweise nicht verwendet. Daher nehme ich an, warum AWS sie als „optional“ bezeichnet. Ich würde NACLs in ihrer Standardkonfiguration belassen (alle eingehenden und ausgehenden Datenverkehr zulassen) und mich stattdessen vorerst auf Sicherheitsgruppen konzentrieren, da die Verwendung von NACLs als zweite Schicht nur eine zusätzliche hinzufügt Komplexitätsebene, die in Ihrem Szenario möglicherweise nicht benötigt wird. Aus Lernperspektive ist es gut zu wissen, dass sie da sind, sie sind zustandslos, sie gelten auf Subnetzebene und sie gelten nach der Routing-Entscheidung und vor Sicherheitsgruppen für Datenverkehr, der in ein Subnetz eintritt. In Bezug auf Ihre spezifische Situation müssen Sie sich daran erinnern, dass sie zustandslos sind, da Sie NACLs verwenden. Daher muss der gesamte Datenverkehr in das und aus dem Subnetz berücksichtigt werden – der Hauptgrund, warum Sicherheitsgruppen so viel einfacher sind. In Ihrem Fall haben Sie also: Sie müssen eine Regel wie Regel Nr. 300 (aber beachten Sie, dass Sie die Quell-IP leicht falsch formatiert haben - siehe unten) zu Ihrer ausgehenden öffentlichen Subnetz-ACL hinzufügen, aber gebunden, mit einer Quelle des privaten Subnetzes . Wenn Sie dann davon ausgehen, dass Ihre Sicherheitsgruppen gut konfiguriert sind, sollten Sie loslegen. Ich hoffe, das hilft. Das Hinzufügen von Regel Nr. 300 zum ausgehenden Regelsatz des öffentlichen Subnetzes ist - gemäß der anderen Antwort - falsch formatiert. Es sollte 0.0.0.0/0 und nicht 0.0.0.0/32 sein, aber in Ihrem Fall haben Sie das nicht getroffen, da Regel Nr. 50 zuerst getroffen wird und sowieso den gesamten Datenverkehr zulässt - also würde es zwar nicht funktionieren, war es aber nicht dein Problem verursacht.

2. Beste Kiosk-/Zugangskontrollsoftware? [abgeschlossen]

Sie möchten sie wahrscheinlich nicht vollständig von anderen Aspekten des Computers blockieren und sie auf einen Browser beschränken. Es hört sich so an, als ob Sie ein Programm benötigen, das alle am System vorgenommenen Änderungen sehr einfach wiederherstellen kann. Zu diesem Zweck würde ich Faronics DeepFreeze wärmstens empfehlen. DeepFreeze kann alle am Computer vorgenommenen Änderungen überwachen und sie alle mit einem einfachen Neustart rückgängig machen. Es gibt auch eine kostenlose Lösung von Microsoft namens SteadyState, die unter XP und Vista funktioniert

3. Access-Control-Allow-Origin festlegen: * wenn Sitzungskennungen in die HTTP-Header eingefügt werden

Ja, das ist richtig. Um etwas Wertvolles daraus ziehen zu können, muss der Angreifer die Anmeldeinformationen erhalten. Wenn diese im lokalen Speicher, in JS-Variablen oder was auch immer gespeichert sind, werden sie durch dieselbe Ursprungsrichtlinie geschützt, die der Browser erzwingt. Es gibt also kein größeres Problem mit Ihrer CORS-Richtlinie an sich. Aber es gibt viele verwandte Fragen, über die Sie nachdenken müssen: Ist das Authentifizierungsschema gut? Ich gehe davon aus, dass Drittanbieter die API verwenden sollen, da Sie ursprungsübergreifende Anfragen ermöglichen möchten. Wie erhalten die Drittanbieter also die Geheimnisse? Usw