我正在尝试允许通过 IP 从我们的网络外部访问安全系统 DVR。我们目前有一个托管的 Cisco 路由器,通过我们的 ISP 提供的电缆调制解调器连接到外部世界。路由器目前阻止外部连接访问 DVR。管理路由器的公司愿意在防火墙上打开一个漏洞以允许访问 DVR,但至少一个月内无法这样做。
我的问题是:
有什么方法可以绕过这个托管路由器(至少暂时),并使用调制解调器和托管路由器之间的另一个交换机/路由器将 DVR 直接连接到外部世界吗?如果可以,最好的方法是什么?
答案1
重申 joeqwerty 所说的话,是的,可以按照他描述的方式完成。或者您可以按照您描述的方式在交换机和 DVR 之间放置第二个路由器。
如果您有传统的同轴摄像机,只要您不介意让世界上的每个人都能使用您的摄像机,那就没问题。DVR 并不以其强大的安全功能而闻名,而且通常很容易被利用。
但是,如果该 DVR 连接到 IP 摄像头,那么我再怎么强调也不过分,永远不要按照您的要求去做。这相当于晚上不锁门,电脑却登录了。半专业的恶意行为者只需几分钟就能利用许多 DVR 并进入您的公司网络。
坦白说,在防火墙上打一个洞以允许外部访问并不会好多少,你仍然允许全世界通过 DVR 访问你的内部网络。如果你为防火墙上的那个“洞”设置 ACL 并只允许来自特定 IP 的连接,那么这可能是一个可以接受的风险。
您可以通过几种方法实现这一点,并保持普遍接受的最佳安全实践态势。
最佳选择 1. 设置远程 VPN,允许对内部网络进行身份验证访问,这可以用于不仅仅是查看摄像头。您是否曾经希望可以通过 RDP 进入您的计算机以获取您保存在桌面上的购物清单 ;)。Cisco ASA 具有此功能,尽管可能需要额外的许可证。如果您感兴趣,您还可以以很少的成本甚至免费建立 openVPN 服务器。(但那是另一篇文章了)
更好的选择 2。如果适用,为 DVR 和 IP 摄像机创建一个单独的子网。(您可以使用 Cisco 上的另一个端口,或者使用 VLAN,如果您的基础设施支持的话)。然后在防火墙中创建“漏洞”以访问该子网,这样别人就无法从 DVR 跳入您的公司网络。
最后说明:我是一名安全专家,所以如果我听起来有点偏执,那很遗憾我已经见识了太多现实。如果您好奇 DVR 到底有多不安全,请查看以下文章。
http://www.kerneronsec.com/2016/02/remote-code-execution-in-cctv-dvrs-of.html
答案2
你能做到吗?当然。这是个好主意吗?可能不是。
获取交换机。将调制解调器的内部 (LAN) 端口连接到交换机。将路由器的外部 (WAN) 端口连接到交换机。将 DVR 连接到交换机。为 DVR 分配一个可公开路由的 IP 地址。