Sammenligning af metoder til (fjern)adgang#

DNS-baseret#

Fif

Dette er klart den bedste og mest sikre tilgang, og vi anbefaler at bruge en DNS-baseret fjernadgangsmåde med dit eget TLS-certifikat for at opnå den bedste sikkerhed.

Dette betegner Opsætning af dynamisk DNS og Statisk DNS-konfiguration.

  • Det er helt klart den bedste metode, men også den, der kræver noget konfigurationsarbejde på din internetrouter.

  • Du får dit egne (under)domæne og et TLS-certifikat, så al din trafik vil altid være end-to-end-krypteret, og du opretholder det højeste sikkerhedsniveau for din trafik.

  • Det er nødvendigt at åbne de rigtige porte på din internetrouter, se her

  • Datasti: [NextBox] ⟷ [Router] ⟷ [Klient] ⟷ [Klient]

  • Pro: bedste ydeevne, højeste sikkerhed, fuld end-to-end-kryptering

  • Contra: har brug for (dynamisk) DNS, kræver konfiguration på din internetrouter

Ikke-krypteret#

Advarsel

Vi anbefaler på det kraftigste, at du ikke bruger den ikke-krypterede opsætning, hvis du planlægger at gøre din NextBox tilgængelig uden for dit lokale netværk.

  • simpel (http) ved hjælp af enten nextbox.local eller din lokale IP (f.eks.: 192.168.178.123)

  • Generelt er det en dårlig idé, dette vil ikke kryptere de transporterede data på nogen måde og er kun nyttigt i en opsætning, hvor du ikke ønsker fjernadgang til din NextBox (ikke-krypteret trafik inden for dit LAN kan ikke være noget problem, så længe du ved, hvad du gør).

  • Datasti: [NextBox] ⟷ [Router] ⟷ [Klient] ⟷ [Klient]

  • Pro: hurtigt, ingen konfiguration

  • Contra: ingen transportsikkerhed, ingen fjernadgang (eller kun ukrypteret)

Når du har oprettet TLS og dermed en DNS-baseret metode, vil den ukrypterede forbindelse til din NextBox blive deaktiveret, hvilket ikke er tilfældet for Reverse Proxy, da et problem med proxyen vil låse dig ude af din NextBox.

Nitrokey’s omvendt fuldmagt#

Dette henviser til Fjernadgang via bagudrettet proxy-metoden.

  • Giver transportkryptering mellem dine klienter og din NextBox. Men med den ulempe, at den ikke er End-To-End krypteret, hvilket betyder, at trafikken vil blive dekrypteret på Nitrokey Proxy Server og sendt videre med en anden kryptering. Således kan en kompromitteret proxyserver give adgang til din trafik til den potentielle angriber.

  • Proxyserveren er en flaskehals, og al trafik skal gå gennem proxyserveren, selv om du er i et lokalt netværk sammen med NextBox, skal trafikken gå gennem proxyserveren.

  • Datasti (lokal klient): [NextBox] ⟷ [Router]⟷ [Proxyserver] ⟷ [Router] ⟷ [Router] ⟷ [Klient]

  • Datasti (fjernklient): [NextBox] ⟷ [Router]⟷ [Proxyserver] ⟷ [Klient] ⟷ [Klient]

  • Pro: let at opsætte, god transportsikkerhed

  • Contra: ikke strengt end-to-end-krypteret, potentielt langsom (al trafik gennem proxy)

Fif

Ikke end-to-end krypteret betyder stadig, at al din trafik er krypteret, men inden for proxyserveren vil trafikken blive dekrypteret én gang og krypteret igen for at blive videresendt, før den sendes til klienten eller NextBox.