Vergleich der Methoden für den (Fern-)Zugriff¶
DNS-basiert¶
Hinweis
Dies ist eindeutig der beste und sicherste Ansatz, und wir empfehlen die Verwendung einer DNS-basierten Fernzugriffsmethode mit eigenem TLS-Zertifikat für die beste Sicherheit
Dies bezeichnet den Dynamische DNS-Einrichtung und den Statische DNS-Konfiguration Ansatz.
Eindeutig die beste Methode, aber auch diejenige, die einige Konfigurationsarbeiten an Ihrem Internet-Router erfordert.
Sie erhalten Ihre eigene (Sub-)Domain und ein TLS-Zertifikat, so dass Ihr gesamter Datenverkehr immer Ende-zu-Ende-verschlüsselt ist und Sie die höchste Sicherheitsstufe für Ihren Datenverkehr erhalten.
Das Öffnen der richtigen Ports auf Ihrem Internet-Router ist notwendig, siehe hier
Datenpfad: [NextBox] ⟷ [Router] ⟷ [Client]
Pro: Beste Leistung, höchste Sicherheit, vollständige Ende-zu-Ende-Verschlüsselung
Contra: benötigt (dynamischen) DNS, benötigt Konfiguration auf Ihrem Internet-Router
Unverschlüsselt¶
Warnung
Wir empfehlen dringend, die nicht verschlüsselte Einstellung nicht zu verwenden, wenn Sie planen, Ihre NextBox außerhalb Ihres lokalen Netzwerks verfügbar zu machen.
einfach (
http
) entweder mitnextbox.local
oder Ihrer lokalen IP (z.B.:192.168.178.123
)Generell eine schlechte Idee, da dies die transportierten Daten in keiner Weise verschlüsselt und nur in einem Setup sinnvoll ist, in dem Sie keinen Fernzugriff auf Ihre NextBox wünschen (unverschlüsselter Datenverkehr innerhalb Ihres LANs könnte kein Problem sein, solange Sie wissen, was Sie tun)
Datenpfad: [NextBox] ⟷ [Router] ⟷ [Client]
Pro: schnell, keine Konfiguration
Kontra: keine Transportsicherheit, kein Fernzugriff (oder nur unverschlüsselt)
Außerdem wird, sobald Sie TLS und damit eine DNS-basierte Methode einrichten, die unverschlüsselte Verbindung für Ihre NextBox deaktiviert, dies ist beim Reverse Proxy nicht der Fall, da ein Problem mit dem Proxy Sie dann von Ihrer NextBox aussperren würde.
Nitrokeys umgekehrter Proxy¶
Dies bezieht sich auf die Methode Rückwärts-Proxy-Fernzugriff.
Bietet eine Transportverschlüsselung zwischen Ihren Clients und Ihrer NextBox. Allerdings mit dem Nachteil, dass sie nicht Ende-zu-Ende-verschlüsselt ist, d.h. der Datenverkehr wird am Nitrokey Proxy Server entschlüsselt und mit einer anderen Verschlüsselung weitergereicht. Somit könnte ein kompromittierter Proxy-Server einem potentiellen Angreifer den Zugriff auf Ihren Datenverkehr ermöglichen.
Der Proxyserver ist ein Flaschenhals und der gesamte Datenverkehr muss über den Proxyserver laufen, auch wenn Sie sich zusammen mit der NextBox in einem lokalen Netzwerk befinden, muss der Datenverkehr über den Proxyserver laufen.
Datenpfad (lokaler Client): [NextBox] ⟷ [Router]⟷ [Proxy-Server] ⟷ [Router] ⟷ [Client]
Datenpfad (Remote-Client): [NextBox] ⟷ [Router]⟷ [Proxy-Server] ⟷ [Client]
Pro: einfache Einrichtung, gute Transportsicherheit
Contra: nicht streng Ende-zu-Ende-verschlüsselt, potenziell langsam (gesamter Verkehr durch den Proxy)
Hinweis
Nicht Ende-zu-Ende-verschlüsselt bedeutet immer noch, dass Ihr gesamter Datenverkehr tatsächlich verschlüsselt ist, aber innerhalb des Proxy-Servers wird der Datenverkehr zur Weiterleitung einmal entschlüsselt und erneut verschlüsselt, bevor er an den Client oder die NextBox weitergeleitet wird