Access Control System with an 4x3 Keypad & RFID-RC522

Таны код байх ёстойгоос илүү төвөгтэй бичигдсэн бөгөөд танд олон удаа давтагдсан код байгаа нь кодыг ойлгох, өөрчлөхөд хэцүү болгодог. Тиймээс би эхлээд кодыг хэрхэн богиносгож, ерөнхийд нь тайлбарлахыг тайлбарлах болно. Энэ нь 3 удаа буруу PIN оруулсны дараа картыг хүчингүй болгох гэх мэт шинэ функцуудыг хэрэгжүүлэхэд хялбар болгоно.

1. SSH-д зориулсан AWS сүлжээний хандалтын хяналтын жагсаалтыг хувийн дэд сүлжээнд хэрхэн тохируулах вэ

Эхний зүйл бол зарим нэр томъёо нь ямар утгатай болохыг тодорхойлох явдал юм. NACLS - Сүлжээнд нэвтрэх хяналтын жагсаалтууд нь дэд сүлжээний түвшинд хэрэглэгдэх төлөвгүй пакет шүүлтүүр юм. "Төлөвгүй" тал дээр анхаарах нь чухал бөгөөд энэ нь та дэд сүлжээнд орж, гарах бүх урсгалыг тодорхой зааж өгөх хэрэгтэй гэсэн үг юм. Жишээлбэл, "төлөв бүрэн" дүрмийн арга барилаар (энэ нь AWS дахь Аюулгүй байдлын бүлэгт хамаарах зүйл) SSH-д зориулсан TCP/22-ийн дотогшоо урсгалыг зүгээр л зааж өгөх ба энэ нь гадагш чиглэсэн урсгалыг автоматаар зөвшөөрөх болно. NACLS-ийн хувьд энэ нь тийм биш тул та урсгалыг нэвтрүүлэхийн тулд чиглэл бүрт дүрмийг зааж өгөх хэрэгтэй. Аюулгүй байдлын бүлгүүд - эдгээр нь VPC-ийн нэг буюу хэд хэдэн тохиолдлуудад хэрэглэгдэх төрийн бүрэн дүрмийн бүлгүүд юм. Эдгээр нь жишээний түвшинд хамааралтай болохыг анхаарна уу. Аюулгүй байдлын бүлгийг уламжлалт бүрэн галт ханатай харьцуулж болох ч энэ нь бие даасан инстанцийн түвшинд хэрэглэгдэж байгаа тул та нэг дэд сүлжээнд ч гэсэн жишээг бие биенээсээ салгаж болно. Мөн тэдгээр нь төлөвөөр дүүрэн байдаг тул хэрэв та сервер рүү урсгалыг зөвшөөрөхийг хүсвэл (жишээ нь SSH-д зориулсан TCP/22) харгалзах гадагшаа гарах дүрмийг бий болгох талаар санаа зовох хэрэггүй бөгөөд платформ үүнийг автоматаар хариуцдаг. удирдахад илүү хялбар байдаг - энэ нь алдаа гарах магадлал бага гэсэн үг юм. Энэ хоёрыг харьцуулсан сайхан хүснэгт байна: VPC аюулгүй байдлын харьцуулалт Мөн тухайн хуудсан дээр замын хөдөлгөөний чиглэлээс хамааран замын хөдөлгөөнд хэрэглэгдэх зүйлсийн дарааллыг харуулсан сайхан диаграмм байдаг. урсгал . ..so check that out. Дараа нь бид дэд сүлжээнүүдийн хувьд: Нийтийн дэд сүлжээ - AWS-ийн хэллэгээр бол энэ нь зүгээр л хавсаргасан Internet GatewayPrivate дэд сүлжээгээр дамжуулан 0.0.0.0/0 чиглүүлэлт бүхий маршрутын хүснэгтийг хавсаргасан дэд сүлжээ юм - энэ нь эсрэгээрээ, өөрөөр хэлбэл. түүнд хавсаргасан Интернэт гарцаар дамжуулан 0.0.0.0/0 чиглүүлэлт байхгүй. Энэ нь 0-тэй хэвээр байж болохыг анхаарна уу. 0. 0. 0/0 чиглүүлэлт нь NAT Gateway эсвэл таны орчинд байгаа ижил төстэй проксигоор шууд биш юм. Асуулт бол танд NACLS болон Аюулгүй байдлын бүлгүүд байгаа үед аль нь ашиглах вэ? AWS нь NACL-ийг "таны VPC-ийн аюулгүй байдлын нэмэлт давхарга" гэж тодорхойлдог. Ерөнхийдөө Аюулгүй байдлын бүлгүүд хангалттай, илүү уян хатан, ижил хамгаалалттай байдаг нь үнэн. Миний туршлагаас харахад NACLS-ийг ашигладаг ердийн тохиолдлууд байдаг: AWS мөн энд байгаа хэд хэдэн тохиргооны хувилбаруудын талаар зарим зааварчилгаа өгдөг: Таны VPCMy зааварчилгаанд зориулсан сүлжээний ACL дүрмүүд нь ихэвчлэн Аюулгүй байдлын бүлгүүд тохиромжтой хамгаалалтаар хангадаг тул ойлгоход хялбар байдаг. тохируулах ба тэдгээрийн хэрэглээнд илүү уян хатан, нарийн ширхэгтэй байдаг. NACL-ууд нь хүний ​​алдаа эсвэл илүү дэвшилтэт тохиргоонд нэмэлт backstop өгдөг боловч үндсэн хэрэглээнд тэдгээрийг ихэвчлэн ашигладаггүй. Тиймээс би AWS яагаад тэдгээрийг "заавал биш" гэж нэрлэдэг гэж би таамаглаж байна. Би NACL-уудыг үндсэн тохиргоонд нь үлдээж (бүх урсгалыг оруулах, гаргахыг зөвшөөрөх) одоохондоо Аюулгүй байдлын бүлгүүдэд анхаарлаа хандуулах болно, учир нь NACL-ийг хоёр дахь давхарга болгон ашиглах нь зөвхөн нэмэлт зүйл нэмэх болно. Таны хувилбарт шаардлагагүй байж болох нарийн төвөгтэй байдлын давхарга. Сургалтын үүднээс авч үзвэл тэдгээр нь тэнд байгаа, мужгүй, дэд сүлжээний түвшинд хэрэгжинэ, чиглүүлэлтийн шийдвэр гарсны дараа болон дэд сүлжээнд нэвтэрч буй замын хөдөлгөөний аюулгүй байдлын бүлгүүдийн өмнө хэрэгжинэ гэдгийг мэдэх нь сайн хэрэг. Таны нөхцөл байдлын тухайд, та NACL ашиглаж байгаа тул тэдгээр нь төлөвгүй гэдгийг санах хэрэгтэй. Тиймээс дэд сүлжээнд орж байгаа болон гарах бүх урсгалыг тооцоолох шаардлагатай бөгөөд энэ нь Аюулгүй байдлын бүлгүүд яагаад илүү хялбар байдаг гол шалтгаан юм. Таны хувьд танд дараах зүйл байна: Та дүрэм №300 (гэхдээ та эх сурвалжийн IP-г бага зэрэг буруу форматласан болохыг анхаарна уу - доороос харна уу) гадагшаа гарч буй нийтийн дэд сүлжээний ACL дээр, гэхдээ хувийн дэд сүлжээний эх сурвалжтай холбоотой дүрэм нэмэх шаардлагатай. . Аюулгүй байдлын бүлгүүдээ сайн тохируулсан гэж үзвэл та явахад таатай байх болно. Энэ нь тус болно гэж найдаж байна. Нөгөө хариултын дагуу нийтийн дэд сүлжээний гадагшаа гарах дүрмийн багцын №300-р дүрмийн формат алдаатай байна. Энэ нь 0.0.0.0/0 байх ёстой бөгөөд 0.0.0.0/32 байх ёстой, гэхдээ таны хувьд та дүрэм №50-д хамгийн түрүүнд орсон бөгөөд ямар ч байсан бүх хөдөлгөөнийг зөвшөөрдөг гэдгийг онцолсонгүй - тиймээс энэ нь ажиллахгүй байсан ч үнэндээ тийм биш байсан. таны асуудлыг үүсгэж байна.

2. Шилдэг киоск/хандалтын хяналтын програм хангамж? [хаагдсан]

Та тэдгээрийг компьютерийн бусад талаас бүрэн хааж, хөтчөөр хязгаарлахыг хүсэхгүй байх магадлалтай. Танд системд хийсэн аливаа өөрчлөлтийг маш амархан сэргээдэг програм хэрэгтэй юм шиг санагдаж байна. Үүний тулд би Faronics DeepFreeze програмыг санал болгож байна. DeepFreeze нь компьютерт хийсэн аливаа өөрчлөлтийг хянаж, энгийн дахин ачаалснаар бүгдийг буцаах боломжтой. Мөн Microsoft-ын SteadyState нэртэй үнэгүй шийдэл байдаг бөгөөд энэ нь XP болон Vista дээр ажилладаг

3. Хандалт-Хяналт-Зөвшөөрөх-Гарал үүслийг тохируулах: * HTTP толгой хэсэгт сесс танигч оруулах үед

Yeah, that is correct. Үүнээс ямар нэгэн үнэ цэнэтэй зүйлийг олж авахын тулд халдагч итгэмжлэл авах шаардлагатай. Хэрэв эдгээрийг локал хадгалах санд, JS хувьсагчид эсвэл юу ч байсан хадгалсан бол тэдгээр нь хөтчийн мөрддөг эхийн бодлогоор хамгаалагдах болно. Тиймээс таны CORS бодлогод ямар ч ноцтой асуудал байхгүй. Гэхдээ танд бодох хэрэгтэй холбоотой олон асуудал бий: Баталгаажуулалтын схем сайн уу? Та хөндлөн гарал үүслийн хүсэлтийг идэвхжүүлэхийг хүсч байгаа тул гуравдагч этгээдүүд API ашиглах ёстой гэж би бодож байна, тэгвэл гуравдагч этгээд нууцыг хэрхэн олж авах вэ? гэх мэт