繞過託管路由器以允許外部訪問安全系統 DVR
我正在嘗試允許通過 IP 從我們的網路外部訪問安全系統 DVR。我們目前有一個託管的 Cisco 路由器通過我們的 ISP 提供的電纜調製解調器連接到外部世界。路由器目前阻止外部連接訪問 DVR。管理路由器的公司願意在防火牆上打一個洞以允許訪問 DVR,但至少一個月內無法這樣做。
所以我的問題是:
有什麼方法可以繞過這個託管路由器(至少是暫時的)並使用調製解調器和託管路由器之間的另一個交換機/路由器將 DVR 直接連接到外部世界?如果是這樣,最好的方法是什麼?
重申 joeqwerty 所說的話,是的,這可以按照他的描述進行。或者,您可以按照您的描述在交換機和 DVR 之間放置第二個路由器。
如果您有傳統的同軸攝像頭,只要您不介意讓世界上的每個人都可以使用您的攝像頭,就可以了。DVR 並不以其強大的安全功能而聞名,而且通常很容易被利用。
但是,如果該 DVR 連接到 IP 攝影機,那麼我永遠都不會強調,永遠應該按照您的要求完成。這相當於晚上讓辦公室不鎖門,電腦登錄。半專業的惡意行為者只需幾分鐘即可利用許多 DVR 並跳入您的公司網路。
坦率地說,在防火牆上打一個洞以允許外部訪問並沒有好多少,您仍然可以讓世界有可能通過 DVR 訪問您的內部網路。如果您為防火牆中的那個“漏洞”設置了 ACL,並且只允許來自特定 IP 的連接,那麼它可能存在可接受的風險。
有幾種方法可以實現此目的並保持普遍接受的最佳安全實踐態勢。
最佳選擇 1. 設置遠端 VPN 以允許對您的內部網路進行身份驗證訪問,這可用於查看攝影機之外的更多內容。您是否都希望您可以 RDP 進入您的電腦以獲取您保存在桌面上的購物清單;)。Cisco ASA 具有此功能,但可能需要額外的許可證。如果有興趣,您還可以以很少甚至免費的方式建立一個 openVPN 伺服器。(但這完全是另一篇文章)
更好的選擇 2。如果適用,為 DVR 和 IP 攝影機創建一個單獨的子網。(如果您的基礎設施支持,您可以使用 Cisco 上的另一個埠,或者使用 VLAN)。然後在您的防火牆中創建一個“洞”以訪問該子網,這樣就不會有人從 DVR 跳入您的公司網路。
最後說明:我是一名安全專業人士,所以如果我聽起來很偏執,那麼不幸的是,我已經看到了很多現實。如果您對 DVR 有多不安全感到好奇,請查看以下文章。
http://www.kerneronsec.com/2016/02/remote-code-execution-in-cctv-dvrs-of.html