Сравнение методов для (удаленного) доступа¶
на основе DNS¶
Подсказка
Это, безусловно, лучший и наиболее безопасный подход, и мы рекомендуем использовать метод удаленного доступа на основе DNS, включая ваш собственный сертификат TLS для обеспечения наилучшей безопасности.
Это обозначает подход Настройка динамического DNS и подход Конфигурация статического DNS.
Очевидно, что это лучший метод, но он также требует некоторой работы по настройке вашего интернет-маршрутизатора.
Вы получаете свой собственный (под)домен и сертификат TLS, таким образом, весь ваш трафик всегда будет зашифрован из конца в конец, и вы обеспечиваете наивысший уровень безопасности вашего трафика.
Необходимо открыть нужные порты на вашем интернет-маршрутизаторе, см. здесь.
Путь данных: [NextBox] ⟷ [Router] ⟷ [Client]
Про: лучшая производительность, высочайшая безопасность, полное сквозное шифрование
Contra: требуется (динамический) DNS, требуется настройка на вашем интернет-маршрутизаторе
Незашифрованный¶
Предупреждение
Мы настоятельно рекомендуем не использовать незашифрованную настройку, если вы планируете сделать NextBox доступным за пределами вашей локальной сети.
простой (
http
), используя либоnextbox.local
, либо ваш локальный IP (например:192.168.178.123
)Как правило, это плохая идея, это не шифрует передаваемые данные никаким образом и полезно только в случае, если вы не хотите иметь удаленный доступ к NextBox (наличие незашифрованного трафика внутри вашей локальной сети может быть не проблемой, если вы знаете, что делаете).
Путь данных: [NextBox] ⟷ [Router] ⟷ [Client]
Про: быстро, без конфигурации
Контра: отсутствие транспортной безопасности, отсутствие удаленного доступа (или только незашифрованный)
Кроме того, как только вы настроите TLS и, таким образом, метод на основе DNS, незашифрованное соединение для вашего NextBox будет отключено, это не относится к обратному прокси, поскольку проблема с прокси приведет к блокировке вашего NextBox.
Nitrokey’s Reverse Proxy¶
Это относится к методу Удаленный доступ через обратный прокси-сервер.
Обеспечивает транспортное шифрование между вашими клиентами и вашим NextBox. Но с тем недостатком, что он не шифруется End-To-End, то есть трафик будет расшифрован на прокси-сервере Nitrokey и передан дальше с другим шифрованием. Таким образом, взломанный прокси-сервер может дать доступ к вашему трафику потенциальному злоумышленнику.
Прокси-сервер является узким местом, и весь трафик должен проходить через прокси-сервер, даже если вы находитесь в локальной сети вместе с NextBox, трафик должен проходить через прокси-сервер.
Путь к данным (локальный клиент): [NextBox] ⟷ [Router]⟷ [Proxy Server] ⟷ [Router] ⟷ [Client]
Путь данных (удаленный клиент): [NextBox] ⟷ [Router]⟷ [Proxy Server] ⟷ [Client]
Про: легкость в настройке, хорошая транспортная безопасность
Contra: не строго сквозное шифрование, потенциально медленный (весь трафик через прокси)
Подсказка
Шифрование не из конца в конец означает, что весь ваш трафик действительно шифруется, но внутри прокси-сервера для пересылки трафик будет расшифрован один раз и снова зашифрован перед передачей клиенту или NextBox.