Sammenligning af metoder til (fjern)adgang¶
DNS-baseret¶
Fif
Dette er klart den bedste og mest sikre tilgang, og vi anbefaler at bruge en DNS-baseret fjernadgangsmåde med dit eget TLS-certifikat for at opnå den bedste sikkerhed.
Dette betegner Opsætning af dynamisk DNS og Statisk DNS-konfiguration.
Det er helt klart den bedste metode, men også den, der kræver noget konfigurationsarbejde på din internetrouter.
Du får dit egne (under)domæne og et TLS-certifikat, så al din trafik vil altid være end-to-end-krypteret, og du opretholder det højeste sikkerhedsniveau for din trafik.
Det er nødvendigt at åbne de rigtige porte på din internetrouter, se her
Datasti: [NextBox] ⟷ [Router] ⟷ [Klient] ⟷ [Klient]
Pro: bedste ydeevne, højeste sikkerhed, fuld end-to-end-kryptering
Contra: har brug for (dynamisk) DNS, kræver konfiguration på din internetrouter
Ikke-krypteret¶
Advarsel
Vi anbefaler på det kraftigste, at du ikke bruger den ikke-krypterede opsætning, hvis du planlægger at gøre din NextBox tilgængelig uden for dit lokale netværk.
simpel (
http
) ved hjælp af entennextbox.local
eller din lokale IP (f.eks.:192.168.178.123
)Generelt er det en dårlig idé, dette vil ikke kryptere de transporterede data på nogen måde og er kun nyttigt i en opsætning, hvor du ikke ønsker fjernadgang til din NextBox (ikke-krypteret trafik inden for dit LAN kan ikke være noget problem, så længe du ved, hvad du gør).
Datasti: [NextBox] ⟷ [Router] ⟷ [Klient] ⟷ [Klient]
Pro: hurtigt, ingen konfiguration
Contra: ingen transportsikkerhed, ingen fjernadgang (eller kun ukrypteret)
Når du har oprettet TLS og dermed en DNS-baseret metode, vil den ukrypterede forbindelse til din NextBox blive deaktiveret, hvilket ikke er tilfældet for Reverse Proxy, da et problem med proxyen vil låse dig ude af din NextBox.
Nitrokey’s omvendt fuldmagt¶
Dette henviser til Fjernadgang via bagudrettet proxy-metoden.
Giver transportkryptering mellem dine klienter og din NextBox. Men med den ulempe, at den ikke er End-To-End krypteret, hvilket betyder, at trafikken vil blive dekrypteret på Nitrokey Proxy Server og sendt videre med en anden kryptering. Således kan en kompromitteret proxyserver give adgang til din trafik til den potentielle angriber.
Proxyserveren er en flaskehals, og al trafik skal gå gennem proxyserveren, selv om du er i et lokalt netværk sammen med NextBox, skal trafikken gå gennem proxyserveren.
Datasti (lokal klient): [NextBox] ⟷ [Router]⟷ [Proxyserver] ⟷ [Router] ⟷ [Router] ⟷ [Klient]
Datasti (fjernklient): [NextBox] ⟷ [Router]⟷ [Proxyserver] ⟷ [Klient] ⟷ [Klient]
Pro: let at opsætte, god transportsikkerhed
Contra: ikke strengt end-to-end-krypteret, potentielt langsom (al trafik gennem proxy)
Fif
Ikke end-to-end krypteret betyder stadig, at al din trafik er krypteret, men inden for proxyserveren vil trafikken blive dekrypteret én gang og krypteret igen for at blive videresendt, før den sendes til klienten eller NextBox.