Porovnání metod (vzdáleného) přístupu¶
na základě DNS¶
Rada
Jedná se jednoznačně o nejlepší a nejbezpečnější přístup a pro nejlepší zabezpečení doporučujeme použít metodu vzdáleného přístupu založenou na DNS včetně vlastního certifikátu TLS.
Označuje se tím přístup Nastavení dynamického DNS a Statická konfigurace DNS.
Je to jednoznačně nejlepší metoda, ale také metoda, která vyžaduje určitou konfiguraci vašeho internetového směrovače.
Získáte vlastní (sub)doménu a certifikát TLS, takže veškerý váš provoz bude vždy šifrován od konce do konce a zachováte si nejvyšší úroveň zabezpečení provozu.
Je nutné otevřít správné porty na vašem internetovém směrovači, viz zde.
Cesta k datům: [NextBox] ⟷ [Router] ⟷ [Client]
Pro: nejlepší výkon, nejvyšší zabezpečení, úplné end-to-end šifrování
Contra: potřebuje (dynamický) DNS, potřebuje konfiguraci na vašem internetovém směrovači
Nešifrované¶
Varování
Pokud plánujete zpřístupnit svůj NextBox mimo místní síť, důrazně doporučujeme nepoužívat nešifrované nastavení.
jednoduché (
http
) pomocínextbox.local
nebo vaší místní IP (např.:192.168.178.123
).Obecně je to špatný nápad, protože to nijak nešifruje přenášená data a je to užitečné pouze v případě, že nechcete mít vzdálený přístup k NextBoxu (nešifrovaný provoz uvnitř vaší sítě LAN nemusí být problém, pokud víte, co děláte).
Cesta k datům: [NextBox] ⟷ [Router] ⟷ [Client]
Pro: rychlý, bez konfigurace
Contra: žádné zabezpečení přenosu, žádný vzdálený přístup (nebo pouze nešifrovaný)
Jakmile nastavíte TLS, a tedy metodu založenou na DNS, bude nešifrované připojení pro váš NextBox zakázáno, což neplatí pro reverzní proxy server, protože problém s proxy serverem by vás pak zablokoval od vašeho NextBoxu.
Nitrokey’s Reverse Proxy¶
Odkazuje na metodu Vzdálený přístup přes proxy server zpětně.
Zajišťuje šifrování přenosu mezi klienty a vaším NextBoxem. Nevýhodou však je, že není šifrován End-To-End, což znamená, že provoz bude dešifrován na Nitrokey Proxy Serveru a předán dále s jiným šifrováním. Kompromitovaný proxy server tak může potenciálnímu útočníkovi umožnit přístup k vašemu provozu.
Proxy server je úzké hrdlo a veškerý provoz musí procházet přes proxy server, i když jste v místní síti společně s NextBoxem, provoz musí procházet přes proxy server.
Cesta k datům (místní klient): [NextBox] ⟷ [Router]⟷ [Proxy server] ⟷ [Router] ⟷ [Klient]
Datová cesta (vzdálený klient): [NextBox] ⟷ [Router]⟷ [Proxy server] ⟷ [Klient]
Pro: snadné nastavení, dobré zabezpečení přepravy
Contra: není striktně šifrována end-to-end, může být pomalá (veškerý provoz přes proxy server)
Rada
Non end-to-end encrypted stále znamená, že veškerý váš provoz je skutečně šifrován, ale v rámci proxy serveru bude provoz před předáním klientovi nebo NextBoxu jednou dešifrován a znovu zašifrován.