Ограничение доступа к ПК

[Настя]

Интересуют готовые и/или самодельные внешние по отношению
к ПК устройства (электрически сопряженные), которые
ограничивают доступ к ПК и/или приложениям, например,
- i-button (домофонные ключи)
- карточки памяти
- флешки (через дополнительные приложения)
- магнитные карточки
и т.д. и т.п.

Люди добрые - есть ли практика?
Любой совет и пожелание приветствуются.

[radteh]

http://www.avitek.ru/dallas41.html,
http://www.rohos.ru
есть ещё система "Сокол", но не рекомендую её использовать.

[МитяРа]

Мяу Настя..
Где-то видел такое решение:
а) между НЖМД и шлейфом сажается небольшая платка, которая осуществляет шифрование данных "на лету", а доступ к ПК при помощи "таблетки"..
Как-то так...

[Секретный кот]

На прошлой моей работе на всех компах были клавиатуры с встроенными считывателями магнитных карточек. Правда никто не мог объяснить, для чего это было сделано и как работало (если работало вообще
А так самое простое ограничение доступа можно сделать с использованием контактов блокировки, имеющихся на любой материнке. В некоторых брендовых компах к ним даже уже подключён нехитрый замочек на корпусе.

[radteh]

А вот с этого места по подробней, что то я не встречал в своей практике таких материнок.

[kalobyte]

на каком уровне надо ограничивать? в виндовсе есть служба смарт карт, есть клавиатуры с читалкой или отдельные от towitoko с ихним софтом
софт ограничивает вход в систему, дальше ограничения настраиваются политиками безопасности

[anatol22]

1. В старых компютерах был замочек и два ключа в комплекте.
2.В карманах - то-же, вырубают питание винта.
3. Где-то видел программу, когда флешка используется как ключ.

[Radiotehnik]

Я не пойму идею ограничения доступа. Надо сделать так что бы комп не запускался или что бы нельзя было в ОС войти?

[ARV]

если есть гарантия, что корпус компа не может быть вскрыт, то простейший "замок" на iButton, подключенный параллельно кнопке RESET вполне надежно защитит комп от включения

[Radiotehnik]

Угу, или потайная кнопочка с фиксацией, которая размыкает провод запуска БП. Для повышения надёжности можно кнопочку заменить на замочек с АТ корпусов. Или на крайняк замком зажигания от мопеда китайского. :)

[Настя]

Спасибо, что оперативно откликнулись.
Конкретизирую задачу. Предположим на ПК есть некое приложение,
при запуске которого выдается окно приветствия, в котором
говорится следующее "Вход в программу". В этот момент
программа используя API (или иные варианты) делает запрос
на внешнее оборудование (напр., i-button). I-button возвращает
некую информацию (последовательность байтов), которая
программой анализируется и принимается решение о валидности.
В программе (во внешней БД) хранится таблица, где каждому имени
ПК сопоставлен тот или иной i-button...

вот как-то так видится устройство.

Я не спец на АВР, но всерьез планирую освоить ввиду дешевизны.
Интересует устройство на АВР, которое подключается по USB,
которое будет считывать i-button. посоветуйте самое дешевое решение
в свете сказанного.

Говоря про USB интересуют и конкретные API, через которые
можно наладить диалог. Интересна практика VCP, но нумерация
портов от машины к машине может скакать. Еще какие есть варианты?
(желательно практические)

[alexval2006]

Настя попробуйте преобразователь usb на rs232 на микросхеме ft232 а к этому виртуальному ком порту думаю уже можно будет легко подключить ключ и софт писать легче и с железом сподручней гдето видел проэкт нечто похожего если найду дам ссылку. Да еще гляньте в здесь на коте в лабаратории статью электронная отмычка там есть о работе с ключом

[radteh]

Если явас правильно понял, вы хотите чтобы ваше приложение проверяло подлинность пользователя по i-button. Посмотрите содержимое следующих сайтов: http://www.maxim-ic.com/ - здесь есть SDK по iButton и драйвера, http://www.aladdin.ru/catalog/ibutton/readers/ - считыватели брелков на по интерфейсам USB и RS-232, http://www.elin.ru/1-Wire/?topic=soft - тоже полезная инфа по iButto.
PS интересную вы подкинули мне мысль с этими ключами, будет время соберу читалку для этих таблеток, там вроде ничего сложного.

[Настя]

alexval2006 - решение очевидное, но не лучшее по цене.
Тажке необходимо устанавливать драйвер виртуального
COM-порта. COM-порт, в свою очередь, может принять
"непрогнозируемый" номер на разных ПК, а это, в свою очередь,
вызывает "неопределенности" в приложении на ПК по определению
порта.

Нужен HID без дров и API к нему, чтобы действия юзера свести
к "тупому прислонению" таблетки к девайсу.

[ARV]

Настя, предложенная вами концепция слаба до неприличия: ломается за 5 минут даже человеком без особых хакерских навыков. самое простое - загрузиться с boot-CD и удалить вашу прогу из автозагрузки. тем более наличие внешней базы... это вообще дыра...

надежная защита может быть обеспечиена лишь тогда, когда комп в принципе не загружается без проверки на валидность пользователя - чисто аппаратная защита. если есть этап программного анализа, это уже брешь в безопасности - все-таки проанализировать протокол обмена по одному из стандартных интерфейсов и/или хакнуть софт намного легче, чем разобраться с программой, зашитой в МК. во всяком случае для человека, не привыкшего к паяльнику

[Настя]

Настя, предложенная вами концепция слаба до неприличия: ломается за 5 минут даже человеком без особых хакерских навыков. самое простое - загрузиться с boot-CD и удалить вашу прогу из автозагрузки. тем более наличие внешней базы... это вообще дыра...

ARV - не все такие умные как вы. Да и концепция возможно не
до конца понята. Приложение - клиентское ПО, которое делает
запросы по сети в сторону БД на Oracle. А теперь представьте,
загрузилсяя кул-хацкер с бут-СД: какая прога, какая автозагрузка...
Приложение на юзерском ПК - это посредник (сетевой мост, стык...
как угодно называйте) чтобы пройти проверку на валидность и
дальше работать на этом ПК из этого приложения. Приложение
считывает данные с таблетки и сравнивает с записями в БД.
Если успешно - работаем дальше.

[ARV]

вообще-то я думал, речь идет о контроле доступа к компу целиком, а не к отдельной программе. для отдельной программы вроде бы иного пути нет, кроме как вы сказали.

что касается взлома - проснифить USB или COM-порт элементарно. поэтому если вы будете "тупо" передавать коды iButton - это (при желании) элементарно проимитировать. поэтому желательно от "тупой" передачи отказаться - надо как минимум маскировать код таблетки среди сотни посторонних байтов, а в идеале - конечно шифровать данные. и все равно, если ваша прога для компа написана без соответствующей защиты от взлома, то опять-же хакер-самоучка за 15 минут сломает ее

хотя вам виднее

[Настя]

... ну это мы отдельно рассмотрим, как поломать.

Вопрос - какой дешевый МК АВР на котором
можно реализовать USB, основанный на HID-классе

http://www.gaw.ru/html.cgi/txt/app/micr ... AVR328.htm

Я не в теме стоимости и распространенности АВР кристаллов.

[ARV]

HID на AVR делаетя практически на любом, лишь бы было не менее 2К памяти и держал частоту 12 МГц и более например, тини2313... причем все необходимое предоставляется Атмелом в виде апноута AVR309 и исходников к нему.

[Настя]

ARV - какое приложение поставить для начала работы?
И ссылки плз на указанное "AVR309 и исходников к нему".

ПС. Мне бы правильный пинок, чтобы начать...