Système de contrôle d'accès avec un clavier 4x3 et RFID-RC522

Votre code est écrit plus complexe qu'il ne devrait l'être, et vous avez beaucoup de code répété, ce qui rend plus difficile la compréhension et la modification du code. Je vais donc d'abord décrire, comment raccourcir et généraliser votre code. Cela facilitera la mise en œuvre de nouvelles fonctionnalités, comme l'invalidation d'une carte après 3 entrées de code PIN erronées.

1. Comment configurer la liste de contrôle d'accès au réseau AWS pour SSH vers un sous-réseau privé

La première chose à faire est de définir ce que certains termes signifient. NACLS - Network Access Control Lists, sont un filtre de paquets sans état appliqué au niveau du sous-réseau. L'aspect "sans état" est important à garder à l'esprit, cela signifie que vous devez être explicite pour tout le trafic entrant et sortant du sous-réseau. Par exemple, avec une approche de règle "état complet" (ce que le groupe de sécurité dans AWS applique), vous pouvez simplement spécifier le trafic entrant de TCP/22 pour SSH et il autorisera automatiquement le trafic sortant. Avec NACLS, ce n'est pas le cas, vous devrez spécifier une règle dans chaque direction pour permettre au trafic de passer. Groupes de sécurité - ce sont des groupes de règles à état complet qui peuvent être appliquées à une ou plusieurs instances dans un VPC. Notez qu'ils s'appliquent au niveau de l'instance. Le groupe de sécurité peut être comparé à un pare-feu traditionnel à état complet, mais comme il s'applique au niveau de l'instance individuelle, vous pouvez séparer les instances les unes des autres même au sein du même sous-réseau, ce qui est agréable. Et parce qu'ils sont pleins d'état, si vous voulez autoriser le trafic vers un serveur (par exemple TCP/22 pour SSH), vous n'avez pas à vous soucier de créer une règle sortante correspondante, la plate-forme s'en charge automatiquement, donc ils sont beaucoup plus faciles à gérer - ce qui signifie également moins de risques d'erreurs. couler . .. Alors vérifiez cela. Ensuite, en termes de sous-réseaux, nous avons :Sous-réseau public - en termes AWS, il s'agit simplement d'un sous-réseau auquel est attachée une table de routage qui a une route 0.0.0.0/0 via une passerelle Internet attachéeSous-réseau privé - c'est le contraire, c'est-à-dire il n'a pas de route 0.0.0.0/0 via une passerelle Internet connectée. Notez qu'il peut toujours avoir un 0. 0. 0. Route 0/0 via une passerelle NAT ou un proxy similaire dans votre environnement, mais pas direct. La question est, lorsque vous avez NACLS et des groupes de sécurité - lesquels utilisez-vous. AWS décrit les NACL comme une "couche de sécurité facultative pour votre VPC". Et c'est vrai qu'en général les Security Groups sont suffisants, ils sont plus souples et assurent la même protection. D'après mon expérience, il y a des cas typiques où je vois NACLS utilisé cependant :AWS fournit également des conseils sur un certain nombre de scénarios de configuration disponibles ici : Règles ACL réseau recommandées pour votre VPC. et configurer et sont plus flexibles et granulaires dans leur application. Les NACL vous fournissent ce backstop supplémentaire pour les erreurs humaines ou les configurations plus avancées, mais pour une utilisation de base, elles ne sont généralement pas utilisées. Par conséquent, je suppose pourquoi AWS les appelle "facultatifs". Je laisserais les NACL dans leur configuration par défaut (autoriser tout le trafic entrant et sortant) et me concentrerais plutôt sur les groupes de sécurité pour l'instant, car l'utilisation des NACL comme deuxième couche n'ajouterait qu'un supplément couche de complexité qui n'est peut-être pas nécessaire dans votre scénario. Du point de vue de l'apprentissage, il est bon de savoir qu'ils sont là, qu'ils sont sans état, qu'ils s'appliquent au niveau du sous-réseau et qu'ils s'appliquent après la décision de routage et avant les groupes de sécurité sur le trafic entrant dans un sous-réseau. En ce qui concerne votre situation spécifique, parce que vous utilisez des NACL, vous devez vous rappeler qu'ils sont sans état. Par conséquent, tous les flux de trafic entrant et sortant du sous-réseau doivent être pris en compte - la principale raison pour laquelle les groupes de sécurité sont tellement plus faciles. Donc, dans votre cas, vous avez : Vous devez ajouter une règle comme la règle #300 (mais notez que vous avez formaté l'adresse IP source légèrement incorrecte - voir ci-dessous) sur votre ACL de sous-réseau public sortant, mais en liaison, avec une source du sous-réseau privé . Ensuite, en supposant que vos groupes de sécurité sont bien configurés, vous devriez être prêt à partir. J'espère que cela aide. Pour ajouter - selon l'autre réponse - la règle n ° 300 sur l'ensemble de règles sortantes du sous-réseau public est mal formatée. Il devrait être 0.0.0.0/0 et non 0.0.0.0/32, mais dans votre cas, vous n'aviez pas frappé cela car la règle n ° 50 est frappée en premier et autorise tout le trafic de toute façon - donc même si cela ne fonctionnerait pas, ce n'était pas réellement causant votre problème.

2. Meilleur logiciel de contrôle d'accès/kiosque ? [fermé]

Vous ne voulez probablement pas les bloquer totalement d'autres aspects de l'ordinateur et les limiter à un navigateur. Il semble que vous ayez besoin d'un programme capable de restaurer très facilement toutes les modifications apportées au système. À cette fin, je recommanderais vivement Faronics DeepFreeze. DeepFreeze peut surveiller toutes les modifications apportées à l'ordinateur et les annuler toutes avec un simple redémarrage. Il existe également une solution gratuite de Microsoft appelée SteadyState qui fonctionne sur XP et Vista

3. Paramètre Access-Control-Allow-Origin : * lorsque les identifiants de session sont injectés dans les en-têtes HTTP

Ouais, c'est correct. Pour pouvoir en tirer quelque chose de valeur, l'attaquant doit obtenir les informations d'identification. Si ceux-ci sont stockés dans le stockage local, dans des variables JS ou quoi que ce soit, ils seront protégés par la même politique d'origine que celle appliquée par le navigateur. Il n'y a donc pas de problème majeur avec votre politique CORS en soi. Mais il y a de nombreux problèmes connexes auxquels vous devez réfléchir : Le schéma d'authentification est-il bon ? Je suppose que les tiers sont censés utiliser l'API puisque vous souhaitez activer les demandes d'origine croisée, alors comment les tiers obtiennent-ils les secrets ? Etc