Kiểm Soát truy cập Hệ Thống với một 4x3 Bàn Phím & RFID-RC522

Mã của bạn được viết phức tạp hơn bình thường và bạn có nhiều mã lặp đi lặp lại, điều này làm cho việc hiểu và thay đổi mã trở nên khó khăn hơn. Vì vậy, đầu tiên tôi sẽ mô tả, làm thế nào để rút ngắn và tổng quát mã của bạn. Điều đó sẽ giúp dễ dàng triển khai các tính năng mới hơn, chẳng hạn như làm mất hiệu lực thẻ sau 3 lần nhập sai mã PIN.

1. Cách thiết lập Danh sách kiểm soát truy cập mạng AWS cho SSH vào mạng con riêng tư

Điều đầu tiên là xác định ý nghĩa của một số thuật ngữ. Khía cạnh 'state-less' là điều quan trọng cần ghi nhớ, điều này có nghĩa là bạn cần phải rõ ràng đối với tất cả lưu lượng truy cập vào và rời khỏi mạng con. Ví dụ: với phương pháp tiếp cận quy tắc 'trạng thái đầy đủ' (là những gì Nhóm bảo mật trong AWS áp dụng), bạn chỉ cần chỉ định lưu lượng đến của TCP / 22 cho SSH và nó sẽ tự động cho phép lưu lượng đi. Với NACLS thì không phải như vậy, bạn sẽ cần chỉ định một quy tắc theo từng hướng để cho phép lưu lượng đi qua. Nhóm bảo mật - đây là những nhóm quy tắc toàn trạng thái có thể được áp dụng cho một hoặc nhiều trường hợp trong VPC. Lưu ý rằng chúng áp dụng ở cấp độ cá thể. Nhóm Bảo mật có thể được so sánh với tường lửa toàn trạng thái truyền thống, nhưng vì nó được áp dụng ở cấp cá nhân, bạn có thể tách biệt các phiên bản với nhau ngay cả trong cùng một mạng con. Và bởi vì chúng ở trạng thái đầy đủ, nếu bạn muốn cho phép lưu lượng truy cập vào máy chủ (ví dụ: TCP / 22 cho SSH), bạn không phải lo lắng về việc tạo quy tắc gửi đi tương ứng, nền tảng sẽ tự động xử lý điều đó, vì vậy chúng dễ quản lý hơn nhiều - điều đó cũng có nghĩa là ít khả năng xảy ra lỗi hơn. lưu lượng . .. So kiểm tra xem ra. Sau đó, về mặt mạng con, chúng ta có: Mạng con công cộng - theo thuật ngữ AWS, đây chỉ đơn giản là một mạng con có bảng lộ trình đính kèm có đường dẫn 0.0.0.0/0 thông qua mạng con Internet GatewayPrivate được đính kèm - điều này ngược lại, tức là nó không có đường dẫn 0.0.0.0/0 thông qua Cổng Internet đi kèm. Lưu ý rằng nó vẫn có thể có số 0. 0. 0. Định tuyến 0/0 thông qua NAT Gateway hoặc proxy tương tự trong môi trường của bạn, không trực tiếp. Câu hỏi đặt ra là khi bạn có NACLS và Nhóm bảo mật - bạn sẽ sử dụng cái nào. AWS mô tả NACL như một "lớp bảo mật tùy chọn cho VPC của bạn". Và đúng là nói chung Nhóm bảo mật là đủ, chúng linh hoạt hơn và cung cấp khả năng bảo vệ như nhau. Theo kinh nghiệm của tôi, có một số trường hợp điển hình mà tôi thấy NACLS được sử dụng tuy nhiên: AWS cũng cung cấp một số hướng dẫn về một số tình huống cấu hình có sẵn tại đây: Quy tắc ACL mạng được đề xuất cho VPCM của bạn Hướng dẫn của tôi thường là Nhóm bảo mật cung cấp biện pháp bảo vệ phù hợp, dễ hiểu hơn và cấu hình, linh hoạt và chi tiết hơn trong ứng dụng của họ. NACL cung cấp cho bạn dự phòng bổ sung cho lỗi do con người hoặc các cấu hình nâng cao hơn, nhưng để sử dụng cơ bản, chúng thường không được sử dụng. Do đó, tôi giả sử lý do tại sao AWS gọi chúng là "tùy chọn". Tôi sẽ để NACL trong cấu hình mặc định của chúng (cho phép tất cả lưu lượng truy cập vào và ra) và thay vào đó tập trung vào Nhóm bảo mật ngay bây giờ, vì việc sử dụng NACL làm lớp thứ hai sẽ chỉ bổ sung thêm lớp phức tạp có lẽ không cần thiết trong kịch bản của bạn. Từ quan điểm học tập, thật tốt khi biết chúng ở đó, chúng ở chế độ ít nhà nước, chúng áp dụng ở cấp mạng con và chúng áp dụng sau quyết định định tuyến và trước khi các nhóm bảo mật về lưu lượng truy cập vào mạng con. Liên quan đến tình huống cụ thể của bạn, vì bạn đang sử dụng NACL nên bạn cần nhớ rằng chúng không có trạng thái. Do đó, tất cả các luồng lưu lượng vào và ra khỏi mạng con cần phải được tính đến - lý do chính tại sao Nhóm bảo mật dễ dàng hơn nhiều. Vì vậy, trong trường hợp của bạn, bạn có: Bạn cần thêm quy tắc như quy tắc # 300 (nhưng lưu ý rằng bạn đã định dạng IP nguồn hơi sai - xem bên dưới) trên mạng con công cộng ACL, nhưng bị ràng buộc, với nguồn của mạng con riêng . Sau đó, giả sử Nhóm bảo mật của bạn được định cấu hình tốt thì bạn nên bắt đầu. Hy vọng điều đó sẽ giúp. Để thêm - theo câu trả lời khác - quy tắc # 300 trên bộ quy tắc gửi đi của mạng con công cộng bị thiếu định dạng. Nó phải là 0.0.0.0/0 chứ không phải 0.0.0.0/32, tuy nhiên, trong trường hợp của bạn, bạn đã không đạt được điều đó vì quy tắc số 50 được đánh trước và vẫn cho phép tất cả lưu lượng truy cập - vì vậy mặc dù nó sẽ không hoạt động, nhưng thực tế không phải vậy gây ra vấn đề của bạn.

2. Kiosk / phần mềm kiểm soát ra vào tốt nhất? [đóng cửa]

Bạn có thể không muốn chặn hoàn toàn chúng khỏi các khía cạnh khác của máy tính và giới hạn chúng trong một trình duyệt. Có vẻ như bạn cần một chương trình có thể khôi phục mọi thay đổi được thực hiện đối với hệ thống một cách rất dễ dàng. Vì mục đích này, tôi thực sự giới thiệu Faronics DeepFreeze. DeepFreeze có thể theo dõi bất kỳ thay đổi nào được thực hiện trên máy tính và hoàn nguyên tất cả chúng chỉ bằng một lần khởi động lại đơn giản. Ngoài ra còn có một giải pháp miễn phí của Microsoft được gọi là SteadyState hoạt động trên XP và Vista

3. Đặt Access-Control-Allow-Origin: * khi số nhận dạng phiên được đưa vào tiêu đề HTTP

Vâng, đó là chính xác. Để có thể lấy được bất cứ thứ gì có giá trị từ nó, kẻ tấn công cần có được các thông tin xác thực. Nếu chúng được lưu trữ trong bộ nhớ cục bộ, trong các biến JS hoặc bất cứ thứ gì thì chúng sẽ được bảo vệ bởi cùng một chính sách gốc mà trình duyệt thực thi. Vì vậy, không có vấn đề gì lớn với chính sách CORS của bạn. Nhưng có rất nhiều vấn đề liên quan mà bạn cần phải suy nghĩ: Đề án xác thực có tốt không? Tôi cho rằng các bên thứ ba phải sử dụng API vì bạn muốn kích hoạt các yêu cầu nguồn gốc chéo, vậy làm cách nào để các bên thứ ba có được bí mật? Và như thế