Porównanie metod (zdalnego) dostępu¶
Strona oparta na DNS¶
Podpowiedź
Jest to zdecydowanie najlepsze i najbezpieczniejsze podejście i zalecamy stosowanie metody zdalnego dostępu opartej na DNS z własnym certyfikatem TLS w celu zapewnienia najlepszego bezpieczeństwa.
Oznacza to podejście Konfiguracja dynamicznego DNS i Statyczna konfiguracja DNS.
Jest to niewątpliwie najlepsza metoda, ale również wymagająca pewnych czynności konfiguracyjnych na routerze internetowym.
Otrzymujesz własną (pod)domenę i certyfikat TLS, dzięki czemu cały Twój ruch będzie zawsze szyfrowany od końca do końca, a Ty zachowujesz najwyższy poziom bezpieczeństwa dla swojego ruchu.
Otwarcie właściwych portów na routerze internetowym jest konieczne, zobacz here.
Ścieżka danych: [NextBox] ⟷ [Router] ⟷ [Client]
Pro: najlepsza wydajność, najwyższe bezpieczeństwo, pełne szyfrowanie end-to-end
Contra: wymaga (dynamicznego) DNS, wymaga konfiguracji na routerze internetowym
Niezaszyfrowany¶
Ostrzeżenie
Zdecydowanie odradzamy korzystanie z konfiguracji bez szyfrowania, jeśli NextBox ma być udostępniany poza siecią lokalną.
proste (
http
) używając albonextbox.local
lub lokalnego IP (np.:192.168.178.123
).Generalnie jest to zły pomysł, nie szyfruje to w żaden sposób przesyłanych danych i jest przydatne tylko w przypadku, gdy nie chcesz mieć zdalnego dostępu do NextBoxa (nieszyfrowany ruch w sieci LAN nie stanowi problemu, o ile wiesz, co robisz).
Ścieżka danych: [NextBox] ⟷ [Router] ⟷ [Client]
Pro: szybko, bez konfiguracji
Kontra: brak zabezpieczenia transportu, brak zdalnego dostępu (lub tylko nieszyfrowany)
Ponadto po skonfigurowaniu TLS, a więc metody opartej na DNS, nieszyfrowane połączenie z NextBox zostanie wyłączone, co nie ma miejsca w przypadku Reverse Proxy, ponieważ problem z proxy uniemożliwiłby dostęp do NextBox.
Nitrokey’s Reverse Proxy¶
To odnosi się do metody Backwards Proxy Zdalny dostęp.
Zapewnia szyfrowanie transportu pomiędzy Twoimi klientami a NextBoxem. Ma to jednak tę wadę, że nie jest to szyfrowanie End-To-End, co oznacza, że ruch zostanie odszyfrowany na serwerze proxy Nitrokey i przekazany dalej z innym szyfrowaniem. W związku z tym skompromitowany serwer proxy może umożliwić dostęp do Twojego ruchu potencjalnemu napastnikowi.
Serwer proxy jest wąskim gardłem i cały ruch musi przejść przez serwer proxy, nawet jeśli jesteś w sieci lokalnej razem z NextBoxem, ruch musi przejść przez serwer proxy.
Ścieżka danych (klient lokalny): [NextBox] ⟷ [Router]⟷ [Serwer Proxy] ⟷ [Router] ⟷ [Klient]
Ścieżka danych (zdalny klient): [NextBox] ⟷ [Router]⟷ [Serwer Proxy] ⟷ [Klient]
Pro: łatwa konfiguracja, dobre zabezpieczenie transportu
Contra: nie szyfrowana ściśle end-to-end, potencjalnie wolna (cały ruch przez proxy)
Podpowiedź
Non end-to-end encrypted nadal oznacza, że cały ruch jest rzeczywiście zaszyfrowany, ale w ramach serwera proxy, aby zostać przekazany dalej, ruch zostanie raz odszyfrowany i ponownie zaszyfrowany przed przekazaniem do klienta lub NextBox.