Moin, ich beschäftige mich jetzt seit ein paar Tagen mit HA, komme von einer RaspberryMatic / Mediola das seit Jahren läuft.
Um Alexa auch weiterhin zu nutzen bin ich gem. der Videos / Anleitungen vorgegangen (Cloudflare, Domain, eigener Alexa Skill).
Das klappt auch ohne weiteres, aber mein HA ist ja somit über eine Domain erreichbar. Diese kennt niemand außer mir, aber ich bekomme jetzt einige IP Bans im Log angezeigt. So ganz wohl fühle ich mich nicht dabei. Wie ist das bei euch, gibt’s auch Versuche von außerhalb auf euer HA zuzugreifen?
Alles klar, danke.
Standardmäßig ist das wohl nicht in HA aktiviert, wenn ich es richtig verstehe muss ich einen Eintrag in der configuration.yaml vornehmen ? (Sorry bin noch neu in der Thematik
Ich würde den direkten Zugriff von außen auf HA versuchen zu vermeiden. Ich greife über Wireguard auf mein Heimnetz zu und darüber dann auf die internen Geräte.
Hat (für mich) auch den Vorteil dass ich im gesamten Netz bin und auf alles zugreifen kann was evtl. nicht per HA erreichbar ist. Frigate, Immich-Server etc.
Super, danke.
Habs gerade erledigt.
Ich hab ein 25stelliges Passwort aus Buchstaben (klein und groß), Zahlen und Sonderzeichen und jetzt auch die 2FA.
Das sollte dann sicher sein.
VG
B.
Nachtrag:
Ja das habe ich bislang (vor HA) auch so gemacht und mache ich auch weiterhin so. Allerdings benötigt der Alexa Dienst Zugriff und das funktioniert leider nur wenn HA über das Netz erreichbar ist. Auf Alexa möchte ich mit HA nicht verzichten.
Ich greife von außen auf meine HA per Nabu Casa Cloud zu.
Das funktioniert super. Klar muss bezahlt man für diesen Dienst einen Obolus. Allerdings unterstützt man da ja auch die Entwicklung von HA, und das tue ich gerne.
Bisher hatte ich noch nicht den Eindruck, dass meine Instanz mit Angriffen zu kämpfen hat. Ich habe allerdings auch noch nicht explizit danach geschaut.
Hinter meiner Fritzbox verwende ich eine PiHole Instanz als DNS und DHCP.
Hier mache ich mir weniger Sorgen. Wie schon gesagt, ein starkes Passwort und 2FA sind schon die halbe Miete.
Bei mir ist der HA nicht direkt mit dem Port mit dem Internet verbunden. Der Traffic geht über einen Reverse-Proxy zum HA. Zusätzlich benutze ich Crowdsec, das sogar präventiv IPs blockt. Das Blocken macht dann meine Firewall (mit Crowdsec Bouncer).
Tatsächlich noch nie Probleme mit gehabt. Aber die Erreichbarkeit lief und läuft immer entweder über VPN oder über die NabuCasa Cloud. Und auch bei letzterer kann ich mich an keine verdächtigen Log-in-Versuche erinnern.
Edit: Wenn du eine Domain bei Cloudflare hast, kannst du auch Geo-Blocking betreiben. Also das IPs die nicht von Europa kommen prinzipiell geblockt werden. Das filtert nicht alles raus, aber vieles.
Ich zweifele gar nicht an der Güte eurer Passwörter. Viele Einbrüche in Systeme kommen über irgendwelche Lücken, also durch irgendeine Hintertür und nicht per User/Passwort.
Und da habe ich persönlich ein besseres Gefühl bei Wireguard oder einem anderen VPN als bei Name&Passwort direkt ins System.
Ist es dann auch “Name&Passwort direkt ins System” wenn der Traffic so wie bei mir über Cloudflare läuft? Was wäre dann der Benefit von Cloudflare so wie es @simon42 in seinem Video beschrieben hat?
Wahrscheinlich fehlt mir einfach das Verständnis dafür.
Ok, besten Dank.
Einen Port würde ich auch nie freigeben in meinem Netzwerk.
Aber ist das denn dann jetzt nicht vollkommen sicher wie ich das mache?
Also keine Portfreigabe, Traffic über Cloudflare,IP Ban nach 3 maliger falscher Passworteingabe, Passwort 27stellig (habe noch mal nachgezählt;)) aus kleinen und großen Buchstaben, Zahlen und Sonderzeichen sowie dann, nach der Passworteingabe auch noch die zeitbasierte 2FA? Wer will das denn jetzt noch knacken und aus welchen Beweggründen;) ?
by HarryP: Zusammenführung Doppelpost