リモートアクセスの方法を比較する¶
DNSベース¶
ヒント
これは明らかに最善かつ最も安全な方法であり、最高のセキュリティを実現するために、独自のTLS証明書を含むDNSベースのリモートアクセス方法を使用することをお勧めします。
これは ダイナミックDNSの設定 と スタティックDNSの設定 の2つのアプローチを表しています。
明らかに最良の方法ですが、インターネットルーターの設定作業が必要になります。
独自の(サブ)ドメインとTLS証明書を取得することで、すべてのトラフィックが常にエンドツーエンドで暗号化され、最高レベルのセキュリティを維持することができます。
インターネットルーターで適切なポートを開く必要がありますが、 :doc:`こちら<port-forwarding>`をご覧ください。
データのパス[NextBox] ⟷ [Router] ⟷ [Client] ⟷
非暗号化¶
警告
NextBoxをローカルエリアネットワークの外で利用する場合は、暗号化されていない設定を使用しないことを強くお勧めします。
シンプル(
http
)で、nextbox.local``またはローカルIP(例:``192.168.178.123
)を使用しています。一般的にはあまりお勧めできません。これは転送されたデータを暗号化するものではなく、NextBoxへのリモートアクセスを望まない場合にのみ有効です(LAN内に暗号化されていないトラフィックがあっても、自分が何をしているかを理解していれば問題はありません)。
データのパス[NextBox] ⟷ [Router] ⟷ [Client] ⟷
さらに、TLSを設定してDNSベースの方法を採用すると、NextBoxの暗号化されていない接続は無効になりますが、リバースプロキシの場合は、プロキシに問題があるとNextBoxからロックアウトされてしまうため、そのようなことはありません。
Nitrokey'のリバースプロキシ¶
これは バックワードプロキシ リモートアクセス メソッドを参照しています。
クライアントとNextBoxの間のトランスポートの暗号化を行います。 つまり、トラフィックはNitrokey Proxy Serverで復号化され、別の暗号化されて転送されます。そのため、プロキシサーバーが危険にさらされると、潜在的な攻撃者にお客様のトラフィックへのアクセスを許してしまう可能性があります。
プロキシサーバーがボトルネックとなり、すべてのトラフィックはプロキシサーバーを経由しなければなりません。たとえNextBoxと一緒にローカルネットワークにいても、トラフィックはプロキシサーバーを経由しなければなりません。
データパス(ローカルクライアント)です。[NextBox] ⟷ [Router]⟷ [Proxy Server]⟷ [Router]⟷ [Client]となります。
データパス(リモートクライアント)です。[NextBox] ⟷ [Router]⟷ [Proxy Server]⟷ [Client]です。
Pro: セットアップが簡単で、輸送時のセキュリティも万全です。
**Contra: **厳密なエンド・ツー・エンドの暗号化ではなく、低速になる可能性がある(すべてのトラフィックがプロキシを経由する)。
ヒント
非エンドツーエンドの暗号化は、すべてのトラフィックが実際に暗号化されることを意味しますが、プロキシサーバー内では、転送されるためにトラフィックは一度復号化され、クライアントまたはNextBoxに渡される前に再度暗号化されます。