ระบบควบคุมการเข้าถึงด้วยปุ่มกด4X3และ RFID-RC522

รหัสของคุณเขียนซับซ้อนกว่าที่ควรจะเป็น และคุณมีโค้ดซ้ำๆ ซากๆ อยู่มาก ซึ่งทำให้เข้าใจและเปลี่ยนโค้ดได้ยากขึ้น ก่อนอื่นฉันจะอธิบายวิธีย่อและสรุปโค้ดของคุณ ซึ่งจะทำให้ง่ายต่อการใช้งานคุณลักษณะใหม่ๆ เช่น ทำให้บัตรใช้งานไม่ได้หลังจากป้อน PIN ผิด 3 รายการ

1. วิธีตั้งค่ารายการควบคุมการเข้าถึงเครือข่าย AWS สำหรับ SSH ไปยังซับเน็ตส่วนตัว

สิ่งแรกคือการกำหนดความหมายของคำศัพท์บางคำ NACLS - รายการควบคุมการเข้าถึงเครือข่าย เป็นตัวกรองแพ็กเก็ตแบบไม่มีสถานะที่ใช้ในระดับซับเน็ต สิ่งสำคัญที่ต้องคำนึงถึงคือ "การไร้สถานะ" ซึ่งหมายความว่าคุณต้องมีความชัดเจนสำหรับการรับส่งข้อมูลทั้งหมดที่เข้าและออกจากซับเน็ต ตัวอย่างเช่น ด้วยวิธีกฎ 'เต็มสถานะ' (ซึ่งเป็นสิ่งที่กลุ่มความปลอดภัยใน AWS นำไปใช้) คุณสามารถระบุการรับส่งข้อมูลขาเข้าของ TCP/22 สำหรับ SSH ได้โดยง่าย และจะอนุญาตการรับส่งข้อมูลขาออกโดยอัตโนมัติ กรณีนี้จะไม่เกิดขึ้นกับ NACLS คุณจะต้องระบุกฎในแต่ละทิศทางเพื่อให้การรับส่งข้อมูลผ่านไปได้ กลุ่มความปลอดภัย - นี่คือกลุ่มของกฎเต็มสถานะที่สามารถนำไปใช้กับอินสแตนซ์อย่างน้อยหนึ่งรายการใน VPC โปรดทราบว่าจะใช้ในระดับอินสแตนซ์ กลุ่มความปลอดภัยสามารถเปรียบเทียบได้กับไฟร์วอลล์แบบ state-full แบบดั้งเดิม แต่เนื่องจากใช้งานในระดับอินสแตนซ์แต่ละรายการ คุณจึงสามารถแยกอินสแตนซ์ออกจากกันได้แม้จะอยู่ในซับเน็ตเดียวกันซึ่งถือว่าดี และเนื่องจากเป็นสถานะเต็ม หากคุณต้องการอนุญาตการรับส่งข้อมูลในเซิร์ฟเวอร์ (เช่น TCP/22 สำหรับ SSH) คุณไม่ต้องกังวลกับการสร้างกฎขาออกที่เกี่ยวข้อง แพลตฟอร์มจะดูแลโดยอัตโนมัติ ดังนั้นพวกเขา จัดการได้ง่ายกว่ามาก - ซึ่งหมายความว่ามีโอกาสเกิดข้อผิดพลาดน้อยลง มีตารางที่ดีที่เปรียบเทียบสองสิ่งนี้: การเปรียบเทียบความปลอดภัยของ VPC นอกจากนี้ยังมีไดอะแกรมที่ดีในหน้านั้นซึ่งแสดงลำดับของสิ่งต่าง ๆ ที่ใช้สำหรับการรับส่งข้อมูลขึ้นอยู่กับทิศทางของ ไหล . ..ดังนั้นตรวจสอบที่ออก. ในแง่ของซับเน็ต เรามี:ซับเน็ตสาธารณะ - ในแง่ของ AWS นี่เป็นเพียงซับเน็ตที่มีตารางเส้นทางที่แนบมาซึ่งมีเส้นทาง 0.0.0.0/0 ผ่านซับเน็ตอินเทอร์เน็ต GatewayPrivate ที่แนบมา ซึ่งตรงกันข้าม กล่าวคือ ไม่มีเส้นทาง 0.0.0.0/0 ผ่านอินเทอร์เน็ตเกตเวย์ที่แนบมา โปรดทราบว่ามันยังคงมี 0 0. 0. เส้นทาง 0/0 ผ่าน NAT Gateway หรือพร็อกซีที่คล้ายกันในสภาพแวดล้อมของคุณ ไม่ใช่โดยตรง คำถามคือเมื่อคุณมี NACLS และกลุ่มความปลอดภัย - คุณใช้อะไร AWS อธิบาย NACL ว่าเป็น "ชั้นความปลอดภัยทางเลือกสำหรับ VPC ของคุณ" และเป็นความจริงที่โดยทั่วไปแล้ว Security Groups ก็เพียงพอแล้ว พวกเขามีความยืดหยุ่นมากกว่าและให้การป้องกันแบบเดียวกัน จากประสบการณ์ของฉัน มีบางกรณีที่ฉันเห็นการใช้ NACLS อย่างไรก็ตาม: AWS ยังให้คำแนะนำเกี่ยวกับสถานการณ์การกำหนดค่าจำนวนหนึ่งที่มีอยู่ที่นี่: กฎ ACL เครือข่ายที่แนะนำสำหรับ VPC ของคุณ คำแนะนำของฉันแม้ว่าโดยทั่วไปแล้ว กลุ่มความปลอดภัยจะให้การป้องกันที่เหมาะสม เข้าใจง่าย และกำหนดค่าและมีความยืดหยุ่นและละเอียดยิ่งขึ้นในการใช้งาน NACL ช่วยให้คุณมีแบ็คสต็อปเพิ่มเติมสำหรับข้อผิดพลาดของมนุษย์หรือการกำหนดค่าขั้นสูงเพิ่มเติม แต่โดยทั่วไปแล้วจะไม่ใช้สำหรับการใช้งานพื้นฐาน ดังนั้นฉันจึงถือว่าเหตุใด AWS เรียกพวกเขาว่า "ทางเลือก" ฉันจะปล่อยให้ NACLs อยู่ในการกำหนดค่าเริ่มต้น (อนุญาตการรับส่งข้อมูลทั้งหมดเข้าและออก) และแทนที่จะเน้นที่กลุ่มความปลอดภัยในตอนนี้ เนื่องจากการใช้ NACL เป็นเลเยอร์ที่สองจะเพิ่มความพิเศษ ชั้นของความซับซ้อนที่อาจไม่จำเป็นในสถานการณ์ของคุณ จากมุมมองการเรียนรู้ เป็นการดีที่จะรู้ว่าพวกเขาอยู่ที่นั่น พวกเขาไม่มีสถานะ ใช้ในระดับซับเน็ต และนำไปใช้หลังจากการตัดสินใจเราต์และก่อนกลุ่มความปลอดภัยในการรับส่งข้อมูลเข้าสู่เครือข่ายย่อย เกี่ยวกับสถานการณ์เฉพาะของคุณ เนื่องจากคุณกำลังใช้ NACLs คุณต้องจำไว้ว่าพวกเขาเป็นคนไร้สัญชาติ ดังนั้นทราฟฟิกทั้งหมดจะไหลเข้าและออกจากซับเน็ต ซึ่งเป็นสาเหตุหลักที่ทำให้กลุ่มความปลอดภัยง่ายกว่ามาก ดังนั้นในกรณีของคุณ คุณมี: คุณต้องเพิ่มกฎเช่นกฎ #300 (แต่โปรดทราบว่าคุณได้จัดรูปแบบ IP ต้นทางผิดเล็กน้อย - ดูด้านล่าง) บน ACL ซับเน็ตสาธารณะขาออกของคุณ แต่ถูกผูกไว้กับแหล่งที่มาของซับเน็ตส่วนตัว . จากนั้น สมมติว่ากลุ่มความปลอดภัยของคุณได้รับการกำหนดค่าอย่างดี คุณก็ควรไปได้ดี หวังว่าจะช่วยได้ ในการเพิ่ม - ตามคำตอบอื่น - กฎ #300 บนชุดกฎขาออกของเครือข่ายย่อยสาธารณะมีการจัดรูปแบบที่ไม่ถูกต้อง มันควรจะเป็น 0.0.0.0/0 และไม่ใช่ 0.0.0.0/32 อย่างไรก็ตาม ในกรณีของคุณ คุณไม่ได้กดปุ่มนั้นตามกฎ #50 จะถูกโจมตีก่อนและอนุญาตให้มีการรับส่งข้อมูลทั้งหมดอยู่แล้ว - ดังนั้นในขณะที่มันไม่ทำงาน มันไม่จริง ทำให้เกิดปัญหาของคุณ

2. ซอฟต์แวร์คีออสก์ / การควบคุมการเข้าถึงที่ดีที่สุด? [ปิด]

คุณอาจไม่ต้องการบล็อกพวกเขาจากส่วนอื่น ๆ ของคอมพิวเตอร์โดยสิ้นเชิง และจำกัดไว้เฉพาะเบราว์เซอร์ ดูเหมือนว่าคุณต้องการโปรแกรมที่สามารถกู้คืนการเปลี่ยนแปลงที่ทำกับระบบได้อย่างง่ายดาย เพื่อจุดประสงค์นี้ ฉันขอแนะนำ Faronics DeepFreeze เป็นอย่างยิ่ง DeepFreeze สามารถตรวจสอบการเปลี่ยนแปลงใดๆ ที่เกิดขึ้นกับคอมพิวเตอร์ และคืนค่าทั้งหมดด้วยการรีบูตอย่างง่าย นอกจากนี้ยังมีโซลูชันฟรีจาก Microsoft ที่เรียกว่า SteadyState ซึ่งทำงานบน XP และ Vista

3. การตั้งค่า Access-Control-Allow-Origin: * เมื่อมีการฉีดตัวระบุเซสชันในส่วนหัว HTTP

ใช่ที่ถูกต้อง ผู้โจมตีจะต้องได้รับข้อมูลประจำตัวเพื่อที่จะได้ของมีค่าออกมาได้ หากสิ่งเหล่านี้ถูกเก็บไว้ในที่จัดเก็บในตัวเครื่อง ในตัวแปร JS หรืออะไรก็ตามที่พวกเขาจะได้รับการคุ้มครองโดยนโยบายต้นกำเนิดเดียวกันกับที่เบราว์เซอร์บังคับใช้ ดังนั้นจึงไม่มีปัญหาสำคัญกับนโยบาย CORS ของคุณในตัวมันเอง แต่มีประเด็นที่เกี่ยวข้องมากมายที่คุณต้องพิจารณา: รูปแบบการรับรองความถูกต้องดีหรือไม่ ฉันถือว่าบุคคลที่สามควรใช้ API เนื่องจากคุณต้องการเปิดใช้งานคำขอข้ามต้นทาง ดังนั้นบุคคลที่สามจะได้รับความลับได้อย่างไร และอื่นๆ