Sistema de control de acceso con teclado 4x3 y RFID-RC522

Su código escrito es más complejo de lo que tiene que ser, y tiene mucho código repetido, lo que hace que sea más difícil de entender y cambiar el código. Entonces, primero describiré cómo acortar y generalizar su código. Eso facilitará la implementación de nuevas funciones, como invalidar una tarjeta después de 3 entradas de PIN incorrectas.

1. Cómo configurar la Lista de control de acceso a la red de AWS para SSH en una subred privada

Lo primero es definir qué significan algunos de los términos. Las NACLS (Listas de control de acceso a la red) son un filtro de paquetes sin estado que se aplica a nivel de subred. Es importante tener en cuenta el aspecto 'sin estado', esto significa que debe ser explícito para todo el tráfico que ingresa y sale de la subred. Por ejemplo, con un enfoque de regla de "estado completo" (que es lo que aplica el grupo de seguridad en AWS), simplemente puede especificar el tráfico entrante de TCP/22 para SSH y automáticamente permitirá el tráfico saliente. Con NACLS, este no es el caso, deberá especificar una regla en cada dirección para permitir que pase el tráfico. Grupos de seguridad: estos son grupos de reglas de estado completo que se pueden aplicar a una o más instancias en una VPC. Tenga en cuenta que se aplican a nivel de instancia. El grupo de seguridad se puede comparar con un cortafuegos de estado completo tradicional, pero debido a que se aplica a nivel de instancia individual, puede segregar instancias entre sí incluso dentro de la misma subred, lo cual es bueno. Y debido a que tienen estado completo, si desea permitir el tráfico en un servidor (por ejemplo, TCP/22 para SSH), no tiene que preocuparse por crear una regla de salida correspondiente, la plataforma se encarga de eso automáticamente, por lo que son mucho más fáciles de administrar, lo que también significa menos posibilidades de errores. Hay una buena tabla que compara estos dos: Comparación de seguridad de VPC También hay un buen diagrama en esa página que muestra el orden de las cosas que se aplican para el tráfico según la dirección de caudal . .... Así que mira eso. Luego, en términos de subredes, tenemos: Subred pública: en términos de AWS, esta es simplemente una subred que tiene una tabla de rutas adjunta que tiene una ruta 0.0.0.0/0 a través de una puerta de enlace de Internet adjunta Subred privada: esto es lo contrario, es decir no tiene una ruta 0.0.0.0/0 a través de una puerta de enlace de Internet adjunta. Tenga en cuenta que todavía puede tener un 0. 0. 0. 0/0 ruta a través de una puerta de enlace NAT o un proxy similar en su entorno, simplemente no directo. La pregunta es, cuando tiene NACLS y grupos de seguridad, ¿cuál usa? AWS describe las NACL como una "capa opcional de seguridad para su VPC". Y es cierto que en general los Grupos de Seguridad son suficientes, son más flexibles y brindan la misma protección. Sin embargo, en mi experiencia, hay algunos casos típicos en los que veo que se usa NACLS: AWS también brinda orientación sobre una serie de escenarios de configuración disponibles aquí: Reglas de ACL de red recomendadas para su VPCMi orientación, aunque generalmente, los grupos de seguridad brindan una protección adecuada, son más fáciles de entender y configurar y son más flexibles y granulares en su aplicación. Los NACL le brindan ese respaldo adicional para errores humanos o configuraciones más avanzadas, pero para uso básico no suelen usarse. Por lo tanto, asumo por qué AWS se refiere a ellos como "opcional". Dejaría las NACL en su configuración predeterminada (permitiría que todo el tráfico entrara y saliera) y, en su lugar, me centraría en los grupos de seguridad por ahora, ya que usar las NACL como una segunda capa solo agregará un extra. capa de complejidad que quizás no sea necesaria en su escenario. Desde una perspectiva de aprendizaje, es bueno saber que están ahí, no tienen estado, se aplican a nivel de subred y se aplican después de la decisión de enrutamiento y antes de los grupos de seguridad sobre el tráfico que ingresa a una subred. Con respecto a su situación específica, debido a que está utilizando NACL, debe recordar que no tienen estado. Por lo tanto, todos los flujos de tráfico que entran y salen de la subred deben tenerse en cuenta, la razón principal por la que los grupos de seguridad son mucho más fáciles. Entonces, en su caso, tiene: Debe agregar una regla como la regla n.º 300 (pero tenga en cuenta que ha formateado la IP de origen un poco mal; consulte a continuación) en su ACL de subred pública saliente, pero enlazada, con una fuente de la subred privada . Luego, suponiendo que sus grupos de seguridad estén bien configurados, debería estar listo para comenzar. Espero que eso ayude. Para agregar, según la otra respuesta, la regla # 300 en el conjunto de reglas de salida de la subred pública tiene un formato incorrecto. Debería ser 0.0.0.0/0 y no 0.0.0.0/32, sin embargo, en su caso, no estaba presionando eso, ya que la regla n. ° 50 se aplica primero y permite todo el tráfico de todos modos, por lo que, si bien no funcionaría, en realidad no fue causando su problema.

2. ¿El mejor software de control de acceso/quiosco? [cerrado]

Probablemente no desee bloquearlos por completo de otros aspectos de la computadora y limitarlos a un navegador. Parece que necesita un programa que pueda restaurar cualquier cambio realizado en el sistema muy fácilmente. Para este propósito, recomendaría encarecidamente Faronics DeepFreeze. DeepFreeze puede monitorear cualquier cambio realizado en la computadora y revertirlos con un simple reinicio. También hay una solución gratuita de Microsoft llamada SteadyState que funciona en XP y Vista.

3. Configuración de Access-Control-Allow-Origin: * cuando los identificadores de sesión se inyectan en los encabezados HTTP

Sí, eso es correcto. Para poder obtener algo de valor, el atacante necesita obtener las credenciales. Si estos se almacenan en el almacenamiento local, en variables JS o lo que sea, estarán protegidos por la misma política de origen que aplica el navegador. Por lo tanto, no hay mayor problema con su política CORS en sí misma. Pero hay muchas cuestiones relacionadas en las que debe pensar: ¿Es bueno el esquema de autenticación? Supongo que se supone que los terceros deben usar la API, ya que desea habilitar las solicitudes de origen cruzado, entonces, ¿cómo obtienen los terceros los secretos? Y así