Система контроля доступа с клавиатурой 4x3 и RFID-RC522

Ваш код написан сложнее, чем должен быть, и у вас много повторяющегося кода, что затрудняет понимание и изменение кода. Итак, я сначала опишу, как сократить и обобщить ваш код. Это упростит внедрение новых функций, таких как аннулирование карты после трех неправильных вводов PIN-кода.

1. Как настроить список управления доступом к сети AWS для SSH в частную подсеть

Во-первых, нужно определить, что означают некоторые термины. NACLS — списки контроля доступа к сети — это фильтр пакетов без состояния, применяемый на уровне подсети. Важно помнить об аспекте «без состояния», это означает, что вы должны быть явными для всего трафика, входящего и исходящего из подсети. Например, при использовании правила «полного состояния» (которое применяет группа безопасности в AWS) вы можете просто указать входящий трафик TCP/22 для SSH, и он автоматически разрешит исходящий трафик. С NACLS это не так, вам нужно будет указать правило в каждом направлении, чтобы разрешить прохождение трафика. Группы безопасности — это группы правил с полным состоянием, которые можно применять к одному или нескольким экземплярам в VPC. Обратите внимание, что они применяются на уровне экземпляра. Группу безопасности можно сравнить с традиционным брандмауэром с полным состоянием, но поскольку она применяется на уровне отдельных экземпляров, вы можете отделять экземпляры друг от друга даже в одной подсети, что удобно. А так как они заполнены состоянием, если вы хотите разрешить трафик на сервер (например, TCP/22 для SSH), вам не нужно беспокоиться о создании соответствующего исходящего правила, платформа позаботится об этом автоматически, поэтому они намного легче управлять, что также означает меньшую вероятность ошибок. Существует хорошая таблица, в которой сравниваются эти два: Сравнение безопасности VPC. поток . .. Так что проверьте это. Затем с точки зрения подсетей у нас есть: Общедоступная подсеть — в терминах AWS это просто подсеть, к которой подключена таблица маршрутов с маршрутом 0.0.0.0/0 через подключенный интернет-шлюз. Частная подсеть — это противоположность, т.е. у него нет маршрута 0.0.0.0/0 через подключенный интернет-шлюз. Обратите внимание, что он все еще может иметь 0. 0. 0. Маршрут 0/0 через шлюз NAT или аналогичный прокси в вашей среде, только не прямой. Вопрос в том, когда у вас есть NACLS и группы безопасности - что вы используете. AWS описывает NACL как «дополнительный уровень безопасности для вашего VPC». И это правда, что групп безопасности в целом достаточно, они более гибкие и обеспечивают такую ​​же защиту. Однако по моему опыту есть несколько типичных случаев, когда я вижу использование NACLS: AWS также предоставляет некоторые рекомендации по ряду сценариев конфигурации, доступных здесь: Рекомендуемые правила сетевого ACL для вашей VPCМое руководство, хотя обычно группы безопасности обеспечивают подходящую защиту, их легче понять. и настраивать, а также более гибки и детализированы в своем приложении. NACL предоставляют вам дополнительную защиту от человеческих ошибок или более сложных конфигураций, но для базового использования они обычно не используются. Следовательно, я предполагаю, почему AWS называет их «необязательными». Я бы оставил NACL в их конфигурации по умолчанию (разрешить весь входящий и исходящий трафик) и вместо этого сейчас сосредоточился на группах безопасности, поскольку использование NACL в качестве второго уровня только добавит дополнительный уровень сложности, который, возможно, не нужен в вашем сценарии. С точки зрения обучения хорошо знать, что они есть, они не имеют состояния, они применяются на уровне подсети и применяются после решения о маршрутизации и перед группами безопасности для трафика, поступающего в подсеть. Что касается вашей конкретной ситуации, поскольку вы используете NACL, вам нужно помнить, что они не имеют состояния. Поэтому необходимо учитывать все входящие и исходящие потоки трафика в подсети — основная причина, по которой группы безопасности намного проще. Итак, в вашем случае у вас есть: вам нужно добавить правило, подобное правилу № 300 (но обратите внимание, что вы немного неправильно отформатировали исходный IP-адрес - см. ниже) в свой исходящий список ACL общедоступной подсети, но связанный, с источником частной подсети . Затем, предполагая, что ваши группы безопасности хорошо настроены, вы должны быть готовы к работе. Надеюсь, это поможет. Чтобы добавить - согласно другому ответу - правило № 300 в наборе исходящих правил общедоступной подсети отформатировано с ошибкой. Это должно быть 0.0.0.0/0, а не 0.0.0.0/32, однако в вашем случае вы не нажали, что правило № 50 срабатывает первым и в любом случае разрешает весь трафик - поэтому, хотя это не сработает, на самом деле это не так. вызывая вашу проблему.

2. Лучшее программное обеспечение для киосков/контроля доступа? [закрыто]

Вы, вероятно, не хотите полностью блокировать их от других аспектов компьютера и ограничивать их браузером. Похоже, вам нужна программа, которая может очень легко восстановить любые изменения, внесенные в систему. Для этой цели я настоятельно рекомендую Faronics DeepFreeze. DeepFreeze может отслеживать любые изменения, внесенные в компьютер, и отменять их простой перезагрузкой. Существует также бесплатное решение от Microsoft под названием SteadyState, которое работает на XP и Vista.

3. Настройка Access-Control-Allow-Origin: * когда идентификаторы сеанса вводятся в заголовки HTTP

Да, это правильно. Чтобы получить от него что-то ценное, злоумышленнику необходимо получить учетные данные. Если они хранятся в локальном хранилище, в переменных JS или в чем-то еще, они будут защищены той же политикой происхождения, которую применяет браузер. Таким образом, нет большой проблемы с вашей политикой CORS самой по себе. Но есть много связанных вопросов, о которых вам нужно подумать: хороша ли схема аутентификации? Я предполагаю, что третьи лица должны использовать API, поскольку вы хотите включить запросы между источниками, так как же третьи лица получают секреты? И так далее