Metodi a confronto per l’accesso (remoto)¶
DNS-based¶
Suggerimento
Questo è chiaramente l’approccio migliore e più sicuro e raccomandiamo di usare un metodo di accesso remoto basato su DNS che includa il proprio certificato TLS per la migliore sicurezza.
Questo denota l’approccio Impostazione DNS dinamico e Configurazione statica del DNS.
Chiaramente il metodo migliore, ma anche quello che richiede un po” di lavoro di configurazione sul vostro router internet.
Ottieni il tuo proprio (sotto)dominio e un certificato TLS, quindi tutto il tuo traffico sarà sempre criptato end-to-end e manterrai il massimo livello di sicurezza per il tuo traffico.
È necessario aprire le porte giuste sul tuo router internet, vedi qui
Percorso dei dati: [NextBox] ⟷ [Router] ⟷ [Client]
Pro: migliori prestazioni, massima sicurezza, crittografia completa end-to-end
Contra: ha bisogno di DNS (dinamico), ha bisogno di configurazione sul tuo router internet
Non criptato¶
Avvertimento
Si consiglia vivamente di non utilizzare la configurazione non criptata, se si prevede di rendere disponibile il NextBox al di fuori della propria rete locale.
semplice (
http
) usando onextbox.local
o il tuo IP locale (es:192.168.178.123
)Generalmente una cattiva idea, questo non cifrerà i dati trasportati in alcun modo ed è utile solo in una configurazione in cui non si desidera l’accesso remoto al NextBox (avere traffico non cifrato all’interno della propria LAN potrebbe non essere un problema, a patto che si sappia cosa si sta facendo)
Percorso dei dati: [NextBox] ⟷ [Router] ⟷ [Client]
Pro: veloce, nessuna configurazione
Contra: nessuna sicurezza del trasporto, nessun accesso remoto (o solo in chiaro)
Inoltre, una volta impostato TLS e quindi un metodo basato su DNS, la connessione non criptata per il tuo NextBox sarà disabilitata, questo non è il caso del Reverse Proxy in quanto un problema con il proxy ti bloccherebbe dal tuo NextBox.
Nitrokey’s Reverse Proxy¶
Questo si riferisce al metodo Accesso remoto con proxy all’indietro.
Fornisce la crittografia di trasporto tra i tuoi clienti e il tuo NextBox. Ma con l’inconveniente che non è crittografato End-To-End, significa che il traffico sarà decifrato al Proxy Server Nitrokey e passato avanti con un’altra crittografia. Così un server proxy compromesso potrebbe permettere l’accesso al vostro traffico al potenziale attaccante.
Il server proxy è un collo di bottiglia e tutto il traffico deve passare attraverso il server proxy, anche se sei in una rete locale insieme al NextBox il traffico deve passare attraverso il server proxy.
Percorso dati (client locale): [NextBox] ⟷ [Router]⟷ [Proxy Server] ⟷ [Router] ⟷ [Client]
Percorso dati (client remoto): [NextBox] ⟷ [Router]⟷ [Proxy Server] ⟷ [Client]
Pro: facile da configurare, buona sicurezza nel trasporto
Contra: non strettamente crittografato end-to-end, potenzialmente lento (tutto il traffico attraverso il proxy)
Suggerimento
Non end-to-end encrypted significa ancora che tutto il tuo traffico è effettivamente criptato, ma all’interno del server proxy, per essere inoltrato il traffico sarà decriptato una volta e criptato di nuovo prima di essere passato al client o a NextBox