Sistema di controllo accessi con tastiera e RFID-RC 4x3522

Il tuo codice è stato scritto in modo più complesso di quanto dovrebbe essere, e hai un codice molto ripetuto, il che rende più difficile capire e modificare il codice. Quindi descriverò prima come abbreviare e generalizzare il tuo codice. Ciò semplificherà l'implementazione di nuove funzionalità, come l'invalidazione di una carta dopo 3 immissioni PIN errate.

1. Come configurare AWS Network Access Control List per SSH su una sottorete privata

La prima cosa è definire cosa significano alcuni dei termini. NACLS - Network Access Control Lists, sono un filtro di pacchetti senza stato applicato a livello di sottorete. L'aspetto "state-less" è importante da tenere a mente, questo significa che devi essere esplicito per tutto il traffico in entrata e in uscita dalla sottorete. Ad esempio, con un approccio basato su regole "state-full" (che è ciò che applica il gruppo di sicurezza in AWS), puoi semplicemente specificare il traffico in entrata di TCP/22 per SSH e consentirà automaticamente il traffico in uscita. Con NACLS questo non è il caso, dovrai specificare una regola in ciascuna direzione per consentire il passaggio del traffico. Gruppi di sicurezza: sono gruppi di regole con stato completo che possono essere applicate a una o più istanze in un VPC. Nota che si applicano a livello di istanza. Il gruppo di sicurezza può essere paragonato a un tradizionale firewall con stato completo, ma poiché è applicato a livello di singola istanza, puoi separare le istanze l'una dall'altra anche all'interno della stessa sottorete, il che è positivo. E poiché sono pieni di stato, se vuoi consentire il traffico in un server (ad esempio TCP/22 per SSH), non devi preoccuparti di creare una regola in uscita corrispondente, la piattaforma se ne occupa automaticamente, quindi loro sono molto più facili da gestire, il che significa anche meno possibilità di errori. C'è una bella tabella che confronta questi due: Confronto sicurezza VPC C'è anche un bel diagramma in quella pagina che mostra l'ordine delle cose applicate al traffico a seconda della direzione di fluire . .. Quindi controlla. Quindi in termini di sottoreti abbiamo: Sottorete pubblica - in termini AWS, questa è semplicemente una sottorete a cui è collegata una tabella di instradamento che ha un percorso 0.0.0.0/0 tramite un gateway Internet collegato. Sottorete privata - questo è l'opposto, ad es. non ha un percorso 0.0.0.0/0 tramite un gateway Internet collegato. Nota che può ancora avere uno 0. 0. 0. Percorso 0/0 tramite un gateway NAT o un proxy simile nel tuo ambiente, ma non diretto. La domanda è, quando hai NACLS e gruppi di sicurezza, che usi. AWS descrive le NACL come un "livello di sicurezza opzionale per il tuo VPC". Ed è vero che in generale i Security Group sono sufficienti, sono più flessibili e garantiscono la stessa protezione. Nella mia esperienza, ci sono alcuni casi tipici in cui vedo NACLS utilizzato tuttavia: AWS fornisce anche alcune indicazioni su una serie di scenari di configurazione disponibili qui: Regole ACL di rete consigliate per la tua guida VPCMy sebbene in genere i gruppi di sicurezza forniscano una protezione adeguata, sono più facili da capire e configurare e sono più flessibili e granulari nella loro applicazione. Le NACL forniscono quel backstop aggiuntivo per l'errore umano o configurazioni più avanzate, ma per l'uso di base non vengono in genere utilizzate. Quindi suppongo perché AWS si riferisca a loro come "opzionali". Lascerei i NACL nella loro configurazione predefinita (consentire tutto il traffico in entrata e in uscita) e invece mi concentrerei sui gruppi di sicurezza per ora, poiché l'utilizzo di NACL come secondo livello aggiungerà solo un extra livello di complessità che forse non è necessario nel tuo scenario. Dal punto di vista dell'apprendimento, è bene sapere che sono presenti, sono state-less, si applicano a livello di sottorete e si applicano dopo la decisione di instradamento e prima dei gruppi di sicurezza sul traffico che entra in una sottorete. Per quanto riguarda la tua situazione specifica, poiché stai utilizzando NACL, devi ricordare che sono apolidi. Pertanto, è necessario tenere conto di tutti i flussi di traffico in entrata e in uscita dalla sottorete, il motivo principale per cui i gruppi di sicurezza sono molto più semplici. Quindi nel tuo caso hai: Devi aggiungere una regola come la regola n. 300 (ma nota che hai formattato l'IP di origine leggermente errato - vedi sotto) sulla tua ACL della sottorete pubblica in uscita, ma inbound, con una fonte della sottorete privata . Quindi, supponendo che i tuoi gruppi di sicurezza siano ben configurati, dovresti essere a posto. Spero che aiuti. Per aggiungere, come per l'altra risposta, la regola n. 300 sul set di regole in uscita della sottorete pubblica è formattata in modo errato. Dovrebbe essere 0.0.0.0/0 e non 0.0.0.0/32, tuttavia nel tuo caso non lo stavi raggiungendo poiché la regola n. 50 viene soddisfatta per prima e consente comunque tutto il traffico, quindi anche se non avrebbe funzionato, in realtà non lo era causando il tuo problema.

2. Il miglior software per chioschi/controllo accessi? [Chiuso]

Probabilmente non vuoi bloccarli totalmente da altri aspetti del computer e limitarli a un browser. Sembra che tu abbia bisogno di un programma in grado di ripristinare facilmente le modifiche apportate al sistema. A tale scopo, consiglio vivamente Faronics DeepFreeze. DeepFreeze può monitorare tutte le modifiche apportate al computer e ripristinarle tutte con un semplice riavvio. C'è anche una soluzione gratuita di Microsoft chiamata SteadyState che funziona su XP e Vista

3. Impostazione di Access-Control-Allow-Origin: * quando gli identificatori di sessione vengono inseriti nelle intestazioni HTTP

Si', e' corretto. Per poter ottenere qualcosa di valore da esso, l'attaccante deve ottenere le credenziali. Se questi sono archiviati nella memoria locale, nelle variabili JS o in qualsiasi altra cosa, saranno protetti dalla stessa politica di origine applicata dal browser. Quindi non ci sono grossi problemi con la tua politica CORS di per sé. Ma ci sono molti problemi correlati su cui devi pensare: lo schema di autenticazione è buono? Presumo che le terze parti debbano utilizzare l'API poiché si desidera abilitare le richieste di origine incrociata, quindi come fanno le terze parti a ottenere i segreti? E così via