Sammenligning af metoder til (fjern)adgang

DNS-baseret

Fif

This is clearly the best and most secure approach and we recommend using a DNS-based remote-access method including your own TLS certificate for the best security.

Dette betegner Opsætning af dynamisk DNS og Statisk DNS-konfiguration.

  • Det er helt klart den bedste metode, men også den, der kræver noget konfigurationsarbejde på din internetrouter.

  • Du får dit egne (under)domæne og et TLS-certifikat, så al din trafik vil altid være end-to-end-krypteret, og du opretholder det højeste sikkerhedsniveau for din trafik.

  • Det er nødvendigt at åbne de rigtige porte på din internetrouter, se her

  • Datasti: [NextBox] ⟷ [Router] ⟷ [Klient] ⟷ [Klient]

  • Pro: bedste ydeevne, højeste sikkerhed, fuld end-to-end-kryptering

  • Contra: har brug for (dynamisk) DNS, kræver konfiguration på din internetrouter

Ikke-krypteret

Advarsel

Vi anbefaler på det kraftigste, at du ikke bruger den ikke-krypterede opsætning, hvis du planlægger at gøre din NextBox tilgængelig uden for dit lokale netværk.

  • simpel (http) ved hjælp af enten nextbox.local eller din lokale IP (f.eks.: 192.168.178.123)

  • Generelt er det en dårlig idé, dette vil ikke kryptere de transporterede data på nogen måde og er kun nyttigt i en opsætning, hvor du ikke ønsker fjernadgang til din NextBox (ikke-krypteret trafik inden for dit LAN kan ikke være noget problem, så længe du ved, hvad du gør).

  • Datasti: [NextBox] ⟷ [Router] ⟷ [Klient] ⟷ [Klient]

  • Pro: hurtigt, ingen konfiguration

  • Contra: ingen transportsikkerhed, ingen fjernadgang (eller kun ukrypteret)

Når du har oprettet TLS og dermed en DNS-baseret metode, vil den ukrypterede forbindelse til din NextBox blive deaktiveret, hvilket ikke er tilfældet for Reverse Proxy, da et problem med proxyen vil låse dig ude af din NextBox.

Nitrokey’s omvendt fuldmagt

Dette henviser til Fjernadgang via bagudrettet proxy-metoden.

  • Giver transportkryptering mellem dine klienter og din NextBox. Men med den ulempe, at den ikke er End-To-End krypteret, hvilket betyder, at trafikken vil blive dekrypteret på Nitrokey Proxy Server og sendt videre med en anden kryptering. Således kan en kompromitteret proxyserver give adgang til din trafik til den potentielle angriber.

  • Proxyserveren er en flaskehals, og al trafik skal gå gennem proxyserveren, selv om du er i et lokalt netværk sammen med NextBox, skal trafikken gå gennem proxyserveren.

  • Datasti (lokal klient): [NextBox] ⟷ [Router]⟷ [Proxyserver] ⟷ [Router] ⟷ [Router] ⟷ [Klient]

  • Datasti (fjernklient): [NextBox] ⟷ [Router]⟷ [Proxyserver] ⟷ [Klient] ⟷ [Klient]

  • Pro: let at opsætte, god transportsikkerhed

  • Contra: ikke strengt end-to-end-krypteret, potentielt langsom (al trafik gennem proxy)

Fif

Non end-to-end encrypted does still mean all your traffic is indeed encrypted, but within the proxy server, in order to be forwarded the traffic will be decrypted once and encrypted again before being passed to the client or NextBox.