Porównanie metod (zdalnego) dostępu#

Strona oparta na DNS#

Podpowiedź

Jest to zdecydowanie najlepsze i najbezpieczniejsze podejście i zalecamy stosowanie metody zdalnego dostępu opartej na DNS z własnym certyfikatem TLS w celu zapewnienia najlepszego bezpieczeństwa.

Oznacza to podejście Konfiguracja dynamicznego DNS i Statyczna konfiguracja DNS.

  • Jest to niewątpliwie najlepsza metoda, ale również wymagająca pewnych czynności konfiguracyjnych na routerze internetowym.

  • Otrzymujesz własną (pod)domenę i certyfikat TLS, dzięki czemu cały Twój ruch będzie zawsze szyfrowany od końca do końca, a Ty zachowujesz najwyższy poziom bezpieczeństwa dla swojego ruchu.

  • Otwarcie właściwych portów na routerze internetowym jest konieczne, zobacz here.

  • Ścieżka danych: [NextBox] ⟷ [Router] ⟷ [Client]

  • Pro: najlepsza wydajność, najwyższe bezpieczeństwo, pełne szyfrowanie end-to-end

  • Contra: wymaga (dynamicznego) DNS, wymaga konfiguracji na routerze internetowym

Niezaszyfrowany#

Ostrzeżenie

Zdecydowanie odradzamy korzystanie z konfiguracji bez szyfrowania, jeśli NextBox ma być udostępniany poza siecią lokalną.

  • proste (http) używając albo nextbox.local lub lokalnego IP (np.: 192.168.178.123).

  • Generalnie jest to zły pomysł, nie szyfruje to w żaden sposób przesyłanych danych i jest przydatne tylko w przypadku, gdy nie chcesz mieć zdalnego dostępu do NextBoxa (nieszyfrowany ruch w sieci LAN nie stanowi problemu, o ile wiesz, co robisz).

  • Ścieżka danych: [NextBox] ⟷ [Router] ⟷ [Client]

  • Pro: szybko, bez konfiguracji

  • Kontra: brak zabezpieczenia transportu, brak zdalnego dostępu (lub tylko nieszyfrowany)

Ponadto po skonfigurowaniu TLS, a więc metody opartej na DNS, nieszyfrowane połączenie z NextBox zostanie wyłączone, co nie ma miejsca w przypadku Reverse Proxy, ponieważ problem z proxy uniemożliwiłby dostęp do NextBox.

Nitrokey’s Reverse Proxy#

To odnosi się do metody Backwards Proxy Zdalny dostęp.

  • Zapewnia szyfrowanie transportu pomiędzy Twoimi klientami a NextBoxem. Ma to jednak tę wadę, że nie jest to szyfrowanie End-To-End, co oznacza, że ruch zostanie odszyfrowany na serwerze proxy Nitrokey i przekazany dalej z innym szyfrowaniem. W związku z tym skompromitowany serwer proxy może umożliwić dostęp do Twojego ruchu potencjalnemu napastnikowi.

  • Serwer proxy jest wąskim gardłem i cały ruch musi przejść przez serwer proxy, nawet jeśli jesteś w sieci lokalnej razem z NextBoxem, ruch musi przejść przez serwer proxy.

  • Ścieżka danych (klient lokalny): [NextBox] ⟷ [Router]⟷ [Serwer Proxy] ⟷ [Router] ⟷ [Klient]

  • Ścieżka danych (zdalny klient): [NextBox] ⟷ [Router]⟷ [Serwer Proxy] ⟷ [Klient]

  • Pro: łatwa konfiguracja, dobre zabezpieczenie transportu

  • Contra: nie szyfrowana ściśle end-to-end, potencjalnie wolna (cały ruch przez proxy)

Podpowiedź

Non end-to-end encrypted nadal oznacza, że cały ruch jest rzeczywiście zaszyfrowany, ale w ramach serwera proxy, aby zostać przekazany dalej, ruch zostanie raz odszyfrowany i ponownie zaszyfrowany przed przekazaniem do klienta lub NextBox.