Comparaison des méthodes d’accès (à distance)#
Basé sur le DNS#
Indication
Il s’agit clairement de l’approche la meilleure et la plus sûre. Nous recommandons d’utiliser une méthode d’accès à distance basée sur le DNS et incluant votre propre certificat TLS pour une sécurité optimale.
Cela désigne l’approche Configuration du DNS dynamique et l’approche Configuration du DNS statique.
Il s’agit clairement de la meilleure méthode, mais aussi de celle qui nécessite une certaine configuration de votre routeur Internet.
Vous obtenez votre propre (sous-)domaine et un certificat TLS. Ainsi, tout votre trafic sera toujours crypté de bout en bout et vous conservez le plus haut niveau de sécurité pour votre trafic.
Il est nécessaire d’ouvrir les bons ports sur votre routeur internet, voir ici.
Chemin des données : [NextBox] ⟷ [Router] ⟷ [Client]
Pro: meilleures performances, sécurité maximale, cryptage complet de bout en bout.
Contra: a besoin d’un DNS (dynamique) et d’une configuration sur votre routeur Internet.
Non crypté#
Avertissement
Nous recommandons fortement de ne pas utiliser la configuration non cryptée, si vous prévoyez de rendre votre NextBox disponible en dehors de votre réseau local.
simple (
http
) en utilisant soitnextbox.local
soit votre IP locale (par exemple :192.168.178.123
)C’est généralement une mauvaise idée, cela ne crypte en aucun cas les données transportées et n’est utile que dans une configuration où vous ne voulez pas d’accès à distance à votre NextBox (avoir un trafic non crypté à l’intérieur de votre LAN ne pose pas de problème, tant que vous savez ce que vous faites).
Chemin des données : [NextBox] ⟷ [Router] ⟷ [Client]
Pro: rapide, pas de configuration
Contra: pas de sécurité de transport, pas d’accès à distance (ou seulement non crypté)
De plus, une fois que vous avez configuré TLS et donc une méthode basée sur le DNS, la connexion non cryptée pour votre NextBox sera désactivée, ce qui n’est pas le cas pour le Reverse Proxy car un problème avec le proxy vous bloquerait alors de votre NextBox.
Le mandataire inversé de Nitrokey#
Il s’agit de la méthode Accès à distance par proxy à rebours.
Fournit un cryptage de transport entre vos clients et votre NextBox. Mais l’inconvénient est qu’il n’est pas crypté de bout en bout, ce qui signifie que le trafic sera décrypté au niveau du serveur proxy Nitrokey et transmis avec un autre cryptage. Ainsi, un serveur proxy compromis pourrait permettre à un attaquant potentiel d’accéder à votre trafic.
Le serveur proxy est un goulot d’étranglement et tout le trafic doit passer par le serveur proxy, même si vous êtes dans un réseau local avec la NextBox, le trafic doit passer par le serveur proxy.
Chemin des données (client local) : [NextBox] ⟷ [Routeur]⟷ [Serveur proxy] ⟷ [Routeur] ⟷ [Client].
Chemin des données (client distant) : [NextBox] ⟷ [Routeur]⟷ [Serveur Proxy] ⟷ [Client].
Pro: facile à installer, bonne sécurité de transport
Contra: pas strictement crypté de bout en bout, potentiellement lent (tout le trafic passe par le proxy)
Indication
Le cryptage de bout en bout signifie toujours que tout votre trafic est crypté, mais qu’au sein du serveur proxy, le trafic sera décrypté une fois et crypté à nouveau avant d’être transmis au client ou à la NextBox.