RFID-passersystem.
-
- Inlägg: 3663
- Blev medlem: 11 september 2004, 09:30:42
- Ort: gbg
- Kontakt:
RFID-passersystem.
Parallax säljer en RFID-läsare och några tags man kan köpa till.
Den skickar ut i 2400 bauds seriell kommunikation så det är bara att koppla den till seriellporten (med en MAX232 emellan) tillsammans med ett relä.
Tagen sänder ut en kod som har 1 099 511 627 776 möjliga unika kombinationer, eftersom den ger en 10-siffrig HEX-kod där varje siffra består av 16 olika kombinationer. (16 ^ 10)
TUSEN MILJARDER olika kombinationer. Ganska omöjligt att försöka brute-forca igenom eller försöka knäcka.
Och hela kretsen inklusive RFID-kretsen, motstånd, transistorer, MAX232 och sånt går på 400-500 spänn.
Och den kretsen som kräver en dator som är igång för att funka, passar ju dom som redan har en dator dygnet runt för tex webbserver.
Om man redan har en webbserver eller något liknande igång dygnet runt, varför ska man då ha passersystemet kopplat till en PIC. Det är ju bättre att utnyttja den lediga CPU-kraft som finns i datorn istället för att köpa mera CPU-kraft och dyra programmerare (PIC + PIC-programmerare) när man redan har CPU-kraft i datorn. Och så förlorar man inte tidsstyrningen och realtime-loggen, dvs att man kan se vilket klockslag och datum en tag användes.
Den skickar ut i 2400 bauds seriell kommunikation så det är bara att koppla den till seriellporten (med en MAX232 emellan) tillsammans med ett relä.
Tagen sänder ut en kod som har 1 099 511 627 776 möjliga unika kombinationer, eftersom den ger en 10-siffrig HEX-kod där varje siffra består av 16 olika kombinationer. (16 ^ 10)
TUSEN MILJARDER olika kombinationer. Ganska omöjligt att försöka brute-forca igenom eller försöka knäcka.
Och hela kretsen inklusive RFID-kretsen, motstånd, transistorer, MAX232 och sånt går på 400-500 spänn.
Och den kretsen som kräver en dator som är igång för att funka, passar ju dom som redan har en dator dygnet runt för tex webbserver.
Om man redan har en webbserver eller något liknande igång dygnet runt, varför ska man då ha passersystemet kopplat till en PIC. Det är ju bättre att utnyttja den lediga CPU-kraft som finns i datorn istället för att köpa mera CPU-kraft och dyra programmerare (PIC + PIC-programmerare) när man redan har CPU-kraft i datorn. Och så förlorar man inte tidsstyrningen och realtime-loggen, dvs att man kan se vilket klockslag och datum en tag användes.
Senast redigerad av sebastiannielsen 9 juni 2005, 19:23:09, redigerad totalt 1 gång.
- Schnegelwerfer
- Inlägg: 1863
- Blev medlem: 8 november 2004, 13:46:56
-
- Inlägg: 3663
- Blev medlem: 11 september 2004, 09:30:42
- Ort: gbg
- Kontakt:
Om man har en bra brandvägg så kan den vara kopplad till internet.
Själv har jag gjort en iptables-brandvägg i linux som blockerar som default och tillåter bara dom portar och TCP-flags som jag skrivit in att dom ska vara öppna.
Brandväggen skyddar 4 datorer som ligger inne i LAN:et.
Och det är bara 3 portar som är öppna inåt och ca 50 utåt. (half-life tar 40 portar i anspråk vid online-spel, varför? 27000-27040)
Under ett säkerhetstest får jag GUL. Anledningen är för att jag har VNC-porten öppen för fjärradministration av webbservern. Men jag håller på att utveckla ett helt webbaserat fjärrsystem, vilket innebär att jag kommer få grön sedan, vilket innebär att datorn är BOMBSÄKER.
(färgerna får jag från www.testadatorn.se)
Men nu ska jag ändra felet med siffran för antalet kombinationer.
Tänk på detta så förstår du varför det är bra med ett internetbaserat passersystem:
Tänk att du är bortrest. Du är den enda som har tillgång till funktionen "spärra tag". En dag ringer chefen och säger att 20 tags som är aktiverade i systemet (dvs att de fungerar mot företagets dörrar) har förkommit vid en transport. Om du har en bra brandvägg så kan du ju gå in med ditt 10 teckens alfanumeriska lösenord samt CAPTCHA verifiera dig och sen bara gå in och spärra tagsen. Då slipper du ett inbrott-med-nyckel
Om du nu har passerdatorn utan internetanslutning. Då kanske du kommer hem till ett tomt företag och polisen har inga bevis för att loggen visar att några förkommna tags har varit inne i företaget och inga krossade rutor/uppbrutna dörrar som lämnar spår.
Själv har jag gjort en iptables-brandvägg i linux som blockerar som default och tillåter bara dom portar och TCP-flags som jag skrivit in att dom ska vara öppna.
Brandväggen skyddar 4 datorer som ligger inne i LAN:et.
Och det är bara 3 portar som är öppna inåt och ca 50 utåt. (half-life tar 40 portar i anspråk vid online-spel, varför? 27000-27040)
Under ett säkerhetstest får jag GUL. Anledningen är för att jag har VNC-porten öppen för fjärradministration av webbservern. Men jag håller på att utveckla ett helt webbaserat fjärrsystem, vilket innebär att jag kommer få grön sedan, vilket innebär att datorn är BOMBSÄKER.
(färgerna får jag från www.testadatorn.se)
Men nu ska jag ändra felet med siffran för antalet kombinationer.
Tänk på detta så förstår du varför det är bra med ett internetbaserat passersystem:
Tänk att du är bortrest. Du är den enda som har tillgång till funktionen "spärra tag". En dag ringer chefen och säger att 20 tags som är aktiverade i systemet (dvs att de fungerar mot företagets dörrar) har förkommit vid en transport. Om du har en bra brandvägg så kan du ju gå in med ditt 10 teckens alfanumeriska lösenord samt CAPTCHA verifiera dig och sen bara gå in och spärra tagsen. Då slipper du ett inbrott-med-nyckel
Om du nu har passerdatorn utan internetanslutning. Då kanske du kommer hem till ett tomt företag och polisen har inga bevis för att loggen visar att några förkommna tags har varit inne i företaget och inga krossade rutor/uppbrutna dörrar som lämnar spår.
-
- Inlägg: 3663
- Blev medlem: 11 september 2004, 09:30:42
- Ort: gbg
- Kontakt:
-
- Inlägg: 3663
- Blev medlem: 11 september 2004, 09:30:42
- Ort: gbg
- Kontakt:
- Schnegelwerfer
- Inlägg: 1863
- Blev medlem: 8 november 2004, 13:46:56
1. Ingen dator kopplad till Internet är "BOMBSÄKER".
2. Ingen dator kopplad till Internet är "BOMBSÄKER".
3. Ingen dator kopplad till Internet är "BOMBSÄKER".
Osv.
Angående ditt fiktiva problem med borttappade RFID-brickor så går ju det att lösa på en mängd andra sätt än att man är beroende av EN person som via internet spärrar de bortappade RFID-brickorna!
2. Ingen dator kopplad till Internet är "BOMBSÄKER".
3. Ingen dator kopplad till Internet är "BOMBSÄKER".
Osv.
Angående ditt fiktiva problem med borttappade RFID-brickor så går ju det att lösa på en mängd andra sätt än att man är beroende av EN person som via internet spärrar de bortappade RFID-brickorna!
-
- Inlägg: 3663
- Blev medlem: 11 september 2004, 09:30:42
- Ort: gbg
- Kontakt:
men om du får grönt i säkerhetstestet på www.testadatorn.se så borde la du vara bombsäker också, men inte lika säker som att inte ha den kopplad till internet.
Men man måste väga funktionalitet mot säkerhet. Det är dumt att offra funktionaliteten för lite säkerhet. Bättre är att ha det så mycket säkerhetstester av olika företag säger att datorn är säker, men ändå så den är åtkomlig utifrån så de legitima personerna kommer in.
Att inte ansluta datorn till internet är ungefär som att bygga ett hus utan dörrar och fönster. Och inbrottssäkrast men det är ju inga legitima personer som kommer in heller.
Och nu när jag har lagt på en massa säkerhetslösningar på min server, som ett antivirus-program och en separat brandvägg vid sidan om som inte kan avaktiveras av trojaner etc som kan hända med vanliga mjukvaruväggar. ska ni inte komma å klaga på det med koderna som jag gjort tidigare. Nu har jag ju förbättrat säkerheten. Det var någon som hackade förut för att jag hade dålig säkerhet, men nu har jag ju tagit lärdom och sett till att skaffa riktiga brandväggar.
Men man måste väga funktionalitet mot säkerhet. Det är dumt att offra funktionaliteten för lite säkerhet. Bättre är att ha det så mycket säkerhetstester av olika företag säger att datorn är säker, men ändå så den är åtkomlig utifrån så de legitima personerna kommer in.
Att inte ansluta datorn till internet är ungefär som att bygga ett hus utan dörrar och fönster. Och inbrottssäkrast men det är ju inga legitima personer som kommer in heller.
Och nu när jag har lagt på en massa säkerhetslösningar på min server, som ett antivirus-program och en separat brandvägg vid sidan om som inte kan avaktiveras av trojaner etc som kan hända med vanliga mjukvaruväggar. ska ni inte komma å klaga på det med koderna som jag gjort tidigare. Nu har jag ju förbättrat säkerheten. Det var någon som hackade förut för att jag hade dålig säkerhet, men nu har jag ju tagit lärdom och sett till att skaffa riktiga brandväggar.
Senast redigerad av sebastiannielsen 9 juni 2005, 19:43:20, redigerad totalt 1 gång.
Jag får hålla med Schnegelwerfer i hans betraktning av säkerhet. Sen får jag till viss del ge sebastian rätt: min förra chef kan inte peta i en bajskorv med en pinne utan att ha sönder båda!
Men såklart får en så viktig funktion inte hänga på 1 person! Denna person kan faktisk bli kört ihjäl, bli allvarligt sjuk, ville på RIKTIG semester osv.
Det ska finnas ett klart och tydligt användergränssnitt, tydliga instruktioner helst för IQ-blöt-trottoarsten samt en dator som INTE är internetansluten.
Edit: Tillägg: att man får grön i en test betyder bara att de KÄNDA säkerhetsproblem är stängda, de okända kan vara totaltöppna.
Men såklart får en så viktig funktion inte hänga på 1 person! Denna person kan faktisk bli kört ihjäl, bli allvarligt sjuk, ville på RIKTIG semester osv.
Det ska finnas ett klart och tydligt användergränssnitt, tydliga instruktioner helst för IQ-blöt-trottoarsten samt en dator som INTE är internetansluten.
Edit: Tillägg: att man får grön i en test betyder bara att de KÄNDA säkerhetsproblem är stängda, de okända kan vara totaltöppna.
Du kommer inte att sälja ett låssystem med argumentet "det är jättesäkert för jag gick grönt på en websida".
Att ha systemet på samma burk som webserver eller annat som kan nås utifrån är idiotiskt, kan du garantera att det inte finns en enda bug i servern, eller något script på servern som på något sätt kan utnyttjas för att mixtra med burken?
Att kunna spärra tags "remote" låter som en bra funktion ur säkerhetssynpunkt, så länge det inte blir för lätt (DoS-attack, hehe...).
Gör den funktionen tilgänglig indirekt via webben i så fall, låset kan vara anslutet till en webserver via RS232. Låset tar emot vissa "säkra" kommandon från webservern, men kräver fysisk tillgång till låset för att t.ex. lägga dit nya tags.
På så sätt funkar ditt exempel, men det finns inget sätt för någon att ge sig själva access till systemet genom att ta sig in via webservern. Det enda de skulle kunna göra är stänga ute andra (störande men inte katastrofalt).
Att ha systemet på samma burk som webserver eller annat som kan nås utifrån är idiotiskt, kan du garantera att det inte finns en enda bug i servern, eller något script på servern som på något sätt kan utnyttjas för att mixtra med burken?
Att kunna spärra tags "remote" låter som en bra funktion ur säkerhetssynpunkt, så länge det inte blir för lätt (DoS-attack, hehe...).
Gör den funktionen tilgänglig indirekt via webben i så fall, låset kan vara anslutet till en webserver via RS232. Låset tar emot vissa "säkra" kommandon från webservern, men kräver fysisk tillgång till låset för att t.ex. lägga dit nya tags.
På så sätt funkar ditt exempel, men det finns inget sätt för någon att ge sig själva access till systemet genom att ta sig in via webservern. Det enda de skulle kunna göra är stänga ute andra (störande men inte katastrofalt).
-
- Inlägg: 3663
- Blev medlem: 11 september 2004, 09:30:42
- Ort: gbg
- Kontakt:
Ska testa på www.securityspace.com
Får jag grönt där också efter att jag lagt in den webbaserade fjärrstyrningen och tagit bort 5900-fjärrstyrningen, så borde jag la vara säker om 2 stycken test helt skilda från varanda säger att jag är säker.
Och låssytemet kommer ju vara säkert. Men det beror på vilken dator man lägger in det på som avgör säkerheten.
Men om jag ska sälja komplett system med installation av datorer och brandväggar å allt, så kan jag ju göra testet när systemet är inkopplat och skriva ut, och använda det som försäljningsargument för nästa produkt.
2 stycken säkerhetsföretag som påstår att en dator är grön ur säkerhetssynpunkt. Det är grejer det....
Får jag grönt där också efter att jag lagt in den webbaserade fjärrstyrningen och tagit bort 5900-fjärrstyrningen, så borde jag la vara säker om 2 stycken test helt skilda från varanda säger att jag är säker.
Och låssytemet kommer ju vara säkert. Men det beror på vilken dator man lägger in det på som avgör säkerheten.
Men om jag ska sälja komplett system med installation av datorer och brandväggar å allt, så kan jag ju göra testet när systemet är inkopplat och skriva ut, och använda det som försäljningsargument för nästa produkt.
2 stycken säkerhetsföretag som påstår att en dator är grön ur säkerhetssynpunkt. Det är grejer det....
- Schnegelwerfer
- Inlägg: 1863
- Blev medlem: 8 november 2004, 13:46:56
Jag googlade lite snabbt efter olika passersystem, och det verkar finnas en del som faktiskt kan konfigureras via internet.
Jag tror dock inte att dessa används i riktigt högt säkerhetsklassade applikationer. Som jämförelse kan jag berätta ungefär hur passerkontrollen i en RIKTIGT högt säkerhetsklassad anläggning fungerar. I den anläggningen krävs det ett personligt passerkort samt en kod. Knappsatsen för inmatning av koden består av små displayer, där varje display är en knapp. Vid varje inloggning slumpas sifforna på knapparna, så att inga fettavlagringar osv. kan indikera vilka siffror som ingår i koden.
Jag tror dock inte att dessa används i riktigt högt säkerhetsklassade applikationer. Som jämförelse kan jag berätta ungefär hur passerkontrollen i en RIKTIGT högt säkerhetsklassad anläggning fungerar. I den anläggningen krävs det ett personligt passerkort samt en kod. Knappsatsen för inmatning av koden består av små displayer, där varje display är en knapp. Vid varje inloggning slumpas sifforna på knapparna, så att inga fettavlagringar osv. kan indikera vilka siffror som ingår i koden.