Porovnání metod (vzdáleného) přístupu#

na základě DNS#

Rada

Jedná se jednoznačně o nejlepší a nejbezpečnější přístup a pro nejlepší zabezpečení doporučujeme použít metodu vzdáleného přístupu založenou na DNS včetně vlastního certifikátu TLS.

Označuje se tím přístup Nastavení dynamického DNS a Statická konfigurace DNS.

  • Je to jednoznačně nejlepší metoda, ale také metoda, která vyžaduje určitou konfiguraci vašeho internetového směrovače.

  • Získáte vlastní (sub)doménu a certifikát TLS, takže veškerý váš provoz bude vždy šifrován od konce do konce a zachováte si nejvyšší úroveň zabezpečení provozu.

  • Je nutné otevřít správné porty na vašem internetovém směrovači, viz zde.

  • Cesta k datům: [NextBox] ⟷ [Router] ⟷ [Client]

  • Pro: nejlepší výkon, nejvyšší zabezpečení, úplné end-to-end šifrování

  • Contra: potřebuje (dynamický) DNS, potřebuje konfiguraci na vašem internetovém směrovači

Nešifrované#

Varování

Pokud plánujete zpřístupnit svůj NextBox mimo místní síť, důrazně doporučujeme nepoužívat nešifrované nastavení.

  • jednoduché (http) pomocí nextbox.local nebo vaší místní IP (např.: 192.168.178.123).

  • Obecně je to špatný nápad, protože to nijak nešifruje přenášená data a je to užitečné pouze v případě, že nechcete mít vzdálený přístup k NextBoxu (nešifrovaný provoz uvnitř vaší sítě LAN nemusí být problém, pokud víte, co děláte).

  • Cesta k datům: [NextBox] ⟷ [Router] ⟷ [Client]

  • Pro: rychlý, bez konfigurace

  • Contra: žádné zabezpečení přenosu, žádný vzdálený přístup (nebo pouze nešifrovaný)

Jakmile nastavíte TLS, a tedy metodu založenou na DNS, bude nešifrované připojení pro váš NextBox zakázáno, což neplatí pro reverzní proxy server, protože problém s proxy serverem by vás pak zablokoval od vašeho NextBoxu.

Nitrokey’s Reverse Proxy#

Odkazuje na metodu Vzdálený přístup přes proxy server zpětně.

  • Zajišťuje šifrování přenosu mezi klienty a vaším NextBoxem. Nevýhodou však je, že není šifrován End-To-End, což znamená, že provoz bude dešifrován na Nitrokey Proxy Serveru a předán dále s jiným šifrováním. Kompromitovaný proxy server tak může potenciálnímu útočníkovi umožnit přístup k vašemu provozu.

  • Proxy server je úzké hrdlo a veškerý provoz musí procházet přes proxy server, i když jste v místní síti společně s NextBoxem, provoz musí procházet přes proxy server.

  • Cesta k datům (místní klient): [NextBox] ⟷ [Router]⟷ [Proxy server] ⟷ [Router] ⟷ [Klient]

  • Datová cesta (vzdálený klient): [NextBox] ⟷ [Router]⟷ [Proxy server] ⟷ [Klient]

  • Pro: snadné nastavení, dobré zabezpečení přepravy

  • Contra: není striktně šifrována end-to-end, může být pomalá (veškerý provoz přes proxy server)

Rada

Non end-to-end encrypted stále znamená, že veškerý váš provoz je skutečně šifrován, ale v rámci proxy serveru bude provoz před předáním klientovi nebo NextBoxu jednou dešifrován a znovu zašifrován.