Compararea metodelor de acces (la distanță)#
Bazat pe DNS#
Sugestie
Aceasta este în mod clar cea mai bună și mai sigură abordare și vă recomandăm să folosiți o metodă de acces la distanță bazată pe DNS, incluzând propriul certificat TLS pentru cea mai bună securitate.
Aceasta denotă abordarea Configurarea DNS dinamic și Configurație DNS statică.
În mod clar, este cea mai bună metodă, dar și cea care necesită o anumită configurare a routerului de internet.
Obțineți propriul (sub)domeniu și un certificat TLS, astfel încât tot traficul dvs. va fi întotdeauna criptat de la un capăt la altul și veți menține cel mai înalt nivel de securitate pentru traficul dvs.
Deschiderea porturilor corecte pe routerul de internet este necesară, vezi here `
Calea datelor: [NextBox] ⟷ [Router] ⟷ [Client]
Pro: cea mai bună performanță, cea mai mare securitate, criptare completă de la un capăt la altul
Contra: are nevoie de DNS (dinamic), are nevoie de configurare pe routerul de internet
Necriptat#
Atenționare
Vă recomandăm cu tărie să nu utilizați configurația necriptată, dacă intenționați să puneți la dispoziție NextBox în afara rețelei locale.
simplu (
http
) folosind fienextbox.local
, fie IP-ul local (de exemplu:192.168.178.123
)În general o idee proastă, acest lucru nu va cripta datele transportate în nici un fel și este util doar într-o configurație în care nu doriți să aveți acces de la distanță la NextBox (traficul necriptat în interiorul rețelei LAN nu ar putea fi o problemă, atâta timp cât știți ce faceți).
Calea datelor: [NextBox] ⟷ [Router] ⟷ [Client]
Pro: rapid, fără configurare
Contra: fără securitate de transport, fără acces de la distanță (sau doar necriptat)
Mai mult, odată ce ați configurat TLS și, prin urmare, o metodă bazată pe DNS, conexiunea necriptată pentru NextBox va fi dezactivată, ceea ce nu este cazul pentru Reverse Proxy, deoarece o problemă cu proxy-ul v-ar bloca accesul la NextBox.
Nitrokey’s Reverse Proxy#
Aceasta se referă la metoda Accesul la distanță prin proxy retroactiv.
Asigură criptarea transportului între clienții dvs. și NextBox. Dar cu dezavantajul că nu este criptat End-To-End, ceea ce înseamnă că traficul va fi decriptat la serverul proxy Nitrokey și transmis mai departe cu o altă criptare. Astfel, un server proxy compromis ar putea permite accesul potențialului atacator la traficul dumneavoastră.
Serverul proxy este un gât de gâtul de sticlă și tot traficul trebuie să treacă prin serverul proxy, chiar dacă vă aflați într-o rețea locală împreună cu NextBox, traficul trebuie să treacă prin serverul proxy.
Calea datelor (client local): [NextBox] ⟷ [Router]⟷ [Proxy Server] ⟷ [Router] ⟷ [Client] ⟷ [Client]
Calea datelor (client la distanță): [NextBox] ⟷ [Router]⟷ [Server Proxy] ⟷ [Client]
Pro: ușor de configurat, securitate bună la transport
Contra: nu este strict criptat de la un capăt la altul, potențial lent (tot traficul prin proxy)
Sugestie
Non end-to-end criptat înseamnă că tot traficul este criptat, dar în cadrul serverului proxy, pentru a fi redirecționat, traficul va fi decriptat o dată și criptat din nou înainte de a fi transmis către client sau NextBox.