Я пытаюсь разрешить доступ к видеорегистратору системы безопасности из-за пределов нашей сети через IP. В настоящее время у нас есть управляемый маршрутизатор Cisco, подключенный к внешнему миру через кабельный модем, предоставленный нашим интернет-провайдером. Маршрутизатор в настоящее время предотвращает доступ внешних подключений к DVR. Компания, управляющая маршрутизатором, готова проделать дыру в брандмауэре, чтобы разрешить доступ к DVR, но не может сделать это по крайней мере в течение месяца.
Итак, мой вопрос:
Есть ли способ обойти этот управляемый маршрутизатор (хотя бы временно) и подключить видеорегистратор напрямую к внешнему миру, используя другой коммутатор / маршрутизатор между модемом и управляемым маршрутизатором? Если да, то как лучше всего это сделать?
Чтобы повторить то, что сказал joeqwerty, да, это можно сделать, как он описал. Или вы можете разместить второй маршрутизатор между коммутатором и DVR, как вы описали.
ЕСЛИ у вас есть традиционные коаксиальные камеры, это нормально, если вы не против сделать свои камеры доступными для всех в мире. Цифровые видеорегистраторы не известны своими надежными функциями безопасности и, как правило, легко эксплуатируются.
ОДНАКО, если этот DVR подключен к IP-камерам, я не могу не подчеркнуть, НИКОГДА, НИКОГДА не следует делать то, что вы просили. Это то же самое, что оставлять офис незапертым на ночь с подключенными компьютерами. Полупрофессиональным злоумышленникам не потребуется больше нескольких минут, чтобы использовать множество DVR и проникнуть в вашу корпоративную сеть.
Откровенно говоря, пробить дыру в брандмауэре, чтобы разрешить доступ извне, не намного лучше, вы по-прежнему позволяете миру потенциально иметь доступ к вашей внутренней сети через DVR. Если вы настроили ACL для этой «дыры» в брандмауэре и разрешили соединения только с определенных IP-адресов, это, вероятно, представляет собой приемлемый риск.
Есть несколько способов добиться этого и поддерживать общепринятую позицию лучших практик безопасности.
НАИЛУЧШИЙ ВАРИАНТ 1. Настройте удаленный VPN, чтобы разрешить аутентифицированный доступ к вашей внутренней сети. Его можно использовать не только для просмотра камер. Вы все хотели, чтобы вы могли подключиться к компьютеру через RDP, чтобы получить список покупок, который вы сохранили на своем рабочем столе;). Cisco ASA имеют такую возможность, хотя для этого может потребоваться дополнительная лицензия. Вы также можете установить сервер openVPN за небольшую плату или бесплатно, если это интересно. (но это совсем другой пост)
Лучший вариант 2. Создайте отдельную подсеть для DVR и IP-камер, если применимо. (вы можете использовать для этого другой порт Cisco или использовать VLAN, если ваша инфраструктура это поддерживает). Затем создайте «дыру» в вашем брандмауэре для доступа к этой подсети, чтобы никто не смог прыгнуть в вашу корпоративную сеть с цифрового видеорегистратора.
Заключительное примечание: я профессионал в области безопасности, поэтому, если я покажусь параноиком, очень жаль, что я многое видел в реальности. Если вам интересно, насколько небезопасным может быть видеорегистратор, ознакомьтесь со следующей статьей.
http://www.kerneronsec.com/2016/02/remote-code-execution-in-cctv-dvrs-of.html
Ты можешь сделать это? Конечно. Это хорошая идея? Возможно нет.
Получите переключатель. Подключите внутренний (LAN) порт модема к коммутатору. Подключите внешний (WAN) порт маршрутизатора к коммутатору. Подключите видеорегистратор к переключателю. Назначьте DVR публично маршрутизируемый IP-адрес.