Hi!
Dazu gabs schon ein paar Threads, aber meine Fragen sind noch nicht beantwortet
Diesen erfolglosen Anmeldeversuch hatte ich heute nacht:
Logger: homeassistant.components.http.ban Quelle: components/http/ban.py:138 Integration: HTTP (Dokumentation, Probleme) Erstmals aufgetreten: 18. April 2024 um 19:02:47 (1 Vorkommnisse) Zuletzt protokolliert: 18. April 2024 um 19:02:47
Login attempt or request with invalid authentication from 139.59.22.41 (139.59.22.41). Requested URL: ‘/media/wp-includes/wlwmanifest.xml’. (Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36)
Der Standort der Anfrage liegt in Indien, könnte eins meiner Geräte eine Anfrage geschickt haben?
Da ich keine ip_bans.yaml habe, nehme ich an, dass erst nach 5 Versuchen die IP gesperrt wird, wie in meiner configuration.yaml eingetragen?
Nein, Geräte die Home Assistant bekannt sind sollten so etwas nicht verursachen. Alles andere was du schreibst ist richtig. Und es ist auch normal, wenn dein HA aus dem Internet erreichbar ist, dass dort unbekannte Logginversuche kommen. In diesem Video zeige ich auch was man alles beachten Sollte um solche Meldungen getrost ignorieren zu können: https://youtu.be/Td92G9hp4Cw
Danke dir!
Hab zwar deinen Kanal abonniert, aber das Video anscheinend verpasst
Eine Frage noch zur Authentifizierung:
Wenn ich einen unerlaubten Zugriff nach zB 5 Versuchen sperre, bräuchte ich eigentlich keine 2-Faktor-Auth. Die wäre nur notwendig, wenn der “Angreifer” mein Passwort wüsste.
Also ich empfehle jedem die 2FA überall zu nutzen. Je mehr Sicherheitsfaktoren du benutzt desto schwerer ist es. Ist zu vergleichen mit Auto offen lassen, Auto absperren oder Auto in geschlossener Garage absperren. Der Dieb wird es zuerst mit dem offenen versuchen, dann mit dem abgesperrten und als letztes mit dem in der Garage.
IP-Ban ist (meiner Meinung nach) broken by design. Und spätestens wenn wir kurz über den IPv6 Adressraum nachdenken…
Nutz 2FA, wo immer es geht. Und im Zweifelsfall, lass eher den IP Ban Mist weg. Vielleicht toll fürs Gefühl. Aber definitiv super, um es sich selbst unnötig kompliziert zu machen.
Danke euch! @tarag Warum ist IP-Ban nix?
Wir reden hier nicht über Fort Knox, sondern einer von vielen externen HA-Zugängen, wo keiner Benutzername und (gutes) Passwort kennt.
@totow
Ja, eigene Domain und cloudflare. Schau ich mir mal näher an!
Wozu dann IP Ban, wenn das Passwort doch sicher ist?
Wenn Du mal hier im Forum suchst findest Du diverse Themen, bei denen Menschen sich selbst oder zumindest einzelne ihrer Geräte selbst ausgesperrt haben. Bekommt man wieder hin, in dem man sich z.B. einfach eine andere IP zuordnet. Aber bis man den Tipp bekommen hat, dass es daran liegen könnte usw. …
Und die Tatsache, dass man es mit einem einfachen IP Wechsel umgehen kann ist ja der Grund, wieso ein IP Ban einfach überflüssig ist.
Bei einem Server mit IPv6 bekomme ich zumeist ein /64 Subnet zugeordnet. Das sind 18.446.744.073.709.551.616 mögliche IP Adressen.
Wäre sicher mal lustig zu testen ab wie vielen Einträgen im IP Ban File Home Assistant bei der Verarbeitung an seine Grenzen kommt.
Jemand, der es wirklich versucht, wird ein IP Ban also nicht aufhalten. Irgendwelche Spam Bots sind so oder so unproblematisch, wenn man vernünftige Passwörter verwendet.
Und auf die Gefahr hin, dass man vielleicht doch mal ein Passwort doppelt verwendet hat, es irgendwo abgegriffen wurde oder ähnliches, ist es eben deutlich sicherer mit 2FA zu arbeiten, anstatt sich der IP Ban Illusion hinzugeben.
Absolut. Genau wie dieser standardmäßig die 2FA Möglichkeiten anbieten wird.
Ich denke / hoffe, dass Passwörter ohnehin eine auslaufende Technik sind. Das ist jedoch noch mal ein anderes Thema.
Beim Thema IP Ban habe ich häufig halt das Gefühl, dass die Menschen sich dadurch in einer Art Sicherheit wiegen, die de facto nicht vorhanden ist. Insbesondere, wenn es eine so einfache Technik ist wie bei HA, dass man selbst jede IP banned.
Jetzt hab ich mich doch von euch dazu überrreden lassen, 2FA zu aktivieren und mir den Google Authentificator aufs iPhone und iPad geschmissen.
2FA war zwar beim Google-account eh schon aktiviert, aber nicht via App.
Jetzt könnte ich IP Ban aus den config.yaml rausschmeissen, oder?
Ausgehend davon, dass es Dir keinen echten Vorteil bringen wird, ja.
Wie @totow schon angesprochen hat, ist ein Passwort Manager immer eine gute Idee. Die können für gewöhnlich auch 2FA zusätzlich.
Ich nutze dafür Bitwarden bzw. Vaultwarden (es gibt dafür auch ein HA Addon) als Server und Bitwarden App zum Zugriff. Bei Passwörtern > 50+ Zeichen ist dies Wahrscheinlichkeit, dass der zweite Faktor mal real notwendig wird schon sehr gering.
