Porównanie metod (zdalnego) dostępu

Strona oparta na DNS

Podpowiedź

This is clearly the best and most secure approach and we recommend using a DNS-based remote-access method including your own TLS certificate for the best security.

Oznacza to podejście Konfiguracja dynamicznego DNS i Statyczna konfiguracja DNS.

  • Jest to niewątpliwie najlepsza metoda, ale również wymagająca pewnych czynności konfiguracyjnych na routerze internetowym.

  • Otrzymujesz własną (pod)domenę i certyfikat TLS, dzięki czemu cały Twój ruch będzie zawsze szyfrowany od końca do końca, a Ty zachowujesz najwyższy poziom bezpieczeństwa dla swojego ruchu.

  • Otwarcie właściwych portów na routerze internetowym jest konieczne, zobacz here.

  • Ścieżka danych: [NextBox] ⟷ [Router] ⟷ [Client]

  • Pro: najlepsza wydajność, najwyższe bezpieczeństwo, pełne szyfrowanie end-to-end

  • Contra: wymaga (dynamicznego) DNS, wymaga konfiguracji na routerze internetowym

Niezaszyfrowany

Ostrzeżenie

Zdecydowanie odradzamy korzystanie z konfiguracji bez szyfrowania, jeśli NextBox ma być udostępniany poza siecią lokalną.

  • proste (http) używając albo nextbox.local lub lokalnego IP (np.: 192.168.178.123).

  • Generalnie jest to zły pomysł, nie szyfruje to w żaden sposób przesyłanych danych i jest przydatne tylko w przypadku, gdy nie chcesz mieć zdalnego dostępu do NextBoxa (nieszyfrowany ruch w sieci LAN nie stanowi problemu, o ile wiesz, co robisz).

  • Ścieżka danych: [NextBox] ⟷ [Router] ⟷ [Client]

  • Pro: szybko, bez konfiguracji

  • Kontra: brak zabezpieczenia transportu, brak zdalnego dostępu (lub tylko nieszyfrowany)

Ponadto po skonfigurowaniu TLS, a więc metody opartej na DNS, nieszyfrowane połączenie z NextBox zostanie wyłączone, co nie ma miejsca w przypadku Reverse Proxy, ponieważ problem z proxy uniemożliwiłby dostęp do NextBox.

Nitrokey’s Reverse Proxy

To odnosi się do metody Backwards Proxy Zdalny dostęp.

  • Zapewnia szyfrowanie transportu pomiędzy Twoimi klientami a NextBoxem. Ma to jednak tę wadę, że nie jest to szyfrowanie End-To-End, co oznacza, że ruch zostanie odszyfrowany na serwerze proxy Nitrokey i przekazany dalej z innym szyfrowaniem. W związku z tym skompromitowany serwer proxy może umożliwić dostęp do Twojego ruchu potencjalnemu napastnikowi.

  • Serwer proxy jest wąskim gardłem i cały ruch musi przejść przez serwer proxy, nawet jeśli jesteś w sieci lokalnej razem z NextBoxem, ruch musi przejść przez serwer proxy.

  • Ścieżka danych (klient lokalny): [NextBox] ⟷ [Router]⟷ [Serwer Proxy] ⟷ [Router] ⟷ [Klient]

  • Ścieżka danych (zdalny klient): [NextBox] ⟷ [Router]⟷ [Serwer Proxy] ⟷ [Klient]

  • Pro: łatwa konfiguracja, dobre zabezpieczenie transportu

  • Contra: nie szyfrowana ściśle end-to-end, potencjalnie wolna (cały ruch przez proxy)

Podpowiedź

Non end-to-end encrypted does still mean all your traffic is indeed encrypted, but within the proxy server, in order to be forwarded the traffic will be decrypted once and encrypted again before being passed to the client or NextBox.