Porovnání metod (vzdáleného) přístupu¶
na základě DNS¶
Rada
This is clearly the best and most secure approach and we recommend using a DNS-based remote-access method including your own TLS certificate for the best security.
Označuje se tím přístup Nastavení dynamického DNS a Statická konfigurace DNS.
Je to jednoznačně nejlepší metoda, ale také metoda, která vyžaduje určitou konfiguraci vašeho internetového směrovače.
Získáte vlastní (sub)doménu a certifikát TLS, takže veškerý váš provoz bude vždy šifrován od konce do konce a zachováte si nejvyšší úroveň zabezpečení provozu.
Je nutné otevřít správné porty na vašem internetovém směrovači, viz zde.
Cesta k datům: [NextBox] ⟷ [Router] ⟷ [Client]
Pro: nejlepší výkon, nejvyšší zabezpečení, úplné end-to-end šifrování
Contra: potřebuje (dynamický) DNS, potřebuje konfiguraci na vašem internetovém směrovači
Nešifrované¶
Varování
Pokud plánujete zpřístupnit svůj NextBox mimo místní síť, důrazně doporučujeme nepoužívat nešifrované nastavení.
jednoduché (
http) pomocínextbox.localnebo vaší místní IP (např.:192.168.178.123).Obecně je to špatný nápad, protože to nijak nešifruje přenášená data a je to užitečné pouze v případě, že nechcete mít vzdálený přístup k NextBoxu (nešifrovaný provoz uvnitř vaší sítě LAN nemusí být problém, pokud víte, co děláte).
Cesta k datům: [NextBox] ⟷ [Router] ⟷ [Client]
Pro: rychlý, bez konfigurace
Contra: žádné zabezpečení přenosu, žádný vzdálený přístup (nebo pouze nešifrovaný)
Jakmile nastavíte TLS, a tedy metodu založenou na DNS, bude nešifrované připojení pro váš NextBox zakázáno, což neplatí pro reverzní proxy server, protože problém s proxy serverem by vás pak zablokoval od vašeho NextBoxu.
Nitrokey’s Reverse Proxy¶
Odkazuje na metodu Vzdálený přístup přes proxy server zpětně.
Zajišťuje šifrování přenosu mezi klienty a vaším NextBoxem. Nevýhodou však je, že není šifrován End-To-End, což znamená, že provoz bude dešifrován na Nitrokey Proxy Serveru a předán dále s jiným šifrováním. Kompromitovaný proxy server tak může potenciálnímu útočníkovi umožnit přístup k vašemu provozu.
Proxy server je úzké hrdlo a veškerý provoz musí procházet přes proxy server, i když jste v místní síti společně s NextBoxem, provoz musí procházet přes proxy server.
Cesta k datům (místní klient): [NextBox] ⟷ [Router]⟷ [Proxy server] ⟷ [Router] ⟷ [Klient]
Datová cesta (vzdálený klient): [NextBox] ⟷ [Router]⟷ [Proxy server] ⟷ [Klient]
Pro: snadné nastavení, dobré zabezpečení přepravy
Contra: není striktně šifrována end-to-end, může být pomalá (veškerý provoz přes proxy server)
Rada
Non end-to-end encrypted does still mean all your traffic is indeed encrypted, but within the proxy server, in order to be forwarded the traffic will be decrypted once and encrypted again before being passed to the client or NextBox.