Etwas Unwohl bei dem Gedanken das mein HA für "jeden" erreichbar ist

Das ist schon sehr sicher, hier ist man eben abhängig von Cloudflare. Aber die haben ja einen sehr guten Ruf und ich unterstelle, die machen ihren Job richtig gut. Kein Zweifel.

Nochmal zum Passwort und dessen Sicherheit.
Das Knacken würde im Zweifelsfall eben nicht über das Passwort sondern über eine Lücke im Login-Prozess stattfinden. Buffer-Overflow usw usw.
Die Beweggründe fürs Knacken sind da unterschiedlich. Ich vermute, die wenigsten Angriffe würden stattfinden um die Steuerung eines Heims zu übernehmen sondern den HA-PC zu übernehmen um darüber andere Malware zu verbreiten oder Spam zu versenden.

Für mich kommt das eher nicht in Frage weil ich durch Wireguard eben Zugriff auf das komplette Netzwerk habe und mich nicht mit Cloudflare auseinandersetzen muss.

So, genug der Philosophie. Drücken wir uns allen die Daumen das der Ernstfall (Cloudflare, Wireguard, etc) nie eintritt und wir bei shodan.io nie an prominenter Stelle auftauchen

Ich habe VPN(Tailscale) mit Alexa im Einsatz. Somit ist HA von außen nicht erreichbar

Würde bestimmt auch mit WireGuard funktionieren, habe ich aber noch nicht getestet.

Das Geo Blocking funktioniert nicht bei der kostenlosen Version von Cloudflare.
Irgendwie vergeht mir ein wenig die Lust auf HA wenn das zu unsicher, bzw. zu kompliziert wird Alexa einzubinden, schade
Frage mich gerade auch warum das dann als Video durch @simon42 rausgegeben wird wenn es unsicher ist?
So sieht so ein Log bei mir aus, kann da jemand etwas mit anfangen?

024-09-25 16:26:21.008 WARNING (MainThread) [homeassistant.components.http.ban] Login attempt or request with invalid authentication from 42.7.82.34.bc.googleusercontent.com (34.82.7.42). Requested URL: ‘/media/wp-includes/wlwmanifest.xml’. (Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36)

Dankeschön
VG
B.

Das ist ja kein dediziertes HA Problem

Das ist korrekt, aber mit meiner bisherigen Hausautomatisation (RaspberryMatic und Mediola) funktionierte Alexa ohne Cloudflare / Zugriff von aussen in dieser Art.
Ich finde nur HA recht cool und wollte nach Jahren mal was neues ausprobieren

Cloudflare hat noch nicht einen cent von mir gesehen und es geht.
hier mal schritt für schritt von dem Dashboard wo du nach dem Login landest.
Dem Grünen Pfeil folgen!
Auf deine Domain klicken.

grafik1469×582 43 KB

grafik948×618 48.2 KB

Da kannst du die ohne Probleme erstellen.

LG

Hast Du da eine wenig mehr Info zu wie Du das gemacht hast?
Danke Dir!
VG
B.

Im Zweifelsfall buchst Du die NabuCasa Cloud und es läuft einfach…

Was ist denn unsicher?

Ein Grundsatz in der Informatik ist, dass es keine 100 % Sicherheit gibt. Das bedeutet nicht, dass irgendetwas unsicher sei.

Die paar Loginversuche auf Deinem System sind automatisiert und finden zigfach jede Sekunde auf alle möglichen Systeme statt. Warum? Keine Ahnung…

Das ist nicht, dass jemand explizit auf Dein System will und alles daran setzt. Sondern es wird durchprobiert, ob nicht admin mit 123456 als Passwort funktioniert. (Tut es leider viel zu oft…)

Wenn man sich bei einem x-beliebigen Anbieter einen Server mietet hat man innerhalb von Minuten nachdem er online ist die ersten Login Versuche auf SSH. Absoluter Standard. Das macht SSH aber nicht unsicher.

Auf WireGuard und andere VPN wird es sicher auch immer wieder Versuche geben. Loggt bloß kaum jemand mit und sind ebenso (zumeist) erfolglos.

Geh mal davon aus, dass mehr als einmal schon jemand probiert hat, ob Du Dein Auto wirklich abgeschlossen hast, wenn es irgendwo geparkt ist. Aber fährst Du deswegen nirgendwo mehr hin? Nein, Du achtest darauf abzuschließen.

Und, dass es kritische Fehler beim Login Prozess gibt ist theoretisch möglich aber mehr als unwahrscheinlich.
Home Assistant ist Open Source. Man braucht also nicht einmal testen ob es Schwachstellen gibt. Man kann direkt nachschauen, ob man sie im Quelltext findet.

Und das wird gemacht. Sehr häufig, von sehr vielen Menschen weltweit. Home Assistant ist eines der aktivsten Open Source Projekte der Welt.

Reicht nicht? Naja… Dann ist gut, dass letztes Jahr ein Unternehmen, dass auf Sicherheitslücken spezialisiert ist, dafür bezahlt wurde danach zu suchen. (Mit dem Geld von NabuCasa, also dem Cloud Dienst, der auch die HA Programmierer zum Teil bezahlt…)

Ergebnis? Es wurden drei kritische Probleme gefunden und behoben. Aber es wurde keine Möglichkeit gefunden den Login unberechtigt zu umgehen.

Wenn nun tausende von Entwicklern weltweit diese theoretisch vorhandenen Fehler nicht sehen und ein Unternehmen, dass sich sehr gut dafür bezahlen lässt solche Fehler zu finden ebenfalls nichts findet…
Wie hoch ist dann die Wahrscheinlichkeit, dass es solche Fehler wirklich gibt?

Und wenn es sie gibt. Wie hoch ist die Wahrscheinlichkeit, dass jemand diesen Fehler findet, es niemandem sagt, es böswillig ausnutzt und genau Deine Instanz angreift?
Wenn Du Dir deswegen reale Sorgen machst, solltest Du in jedem Fall Lotto spielen.

Danke Dir, reale Sorgen mache ich mir nicht. Das ist halt Neuland und bin unsicher.
Da hier auch die wenigsten Antworten das sie solche Logs haben kommt mir das erstmal komisch vor bei mir

VG
B.

Die wenigsten haben sie, weil sie entsprechende Einstellungen getroffen haben diese nicht mehr zu haben oder Systeme nutzen, die dafür sorgen.

Bei VPN kommt man nicht so weit. NabuCasa wird dafür sorgen, dass diese Bots außen vor bleiben. Und bei Cloudflare kannst Du selbst dafür sorgen entsprechende Länder auszusperren, wie @totow sehr anschaulich beschreiben hat.

Wenn plötzlich Dinge gesteuert oder geändert würden, die Du nicht veranlasst hast, würde ich mir Sorgen machen.
Aber die Mitteilung, dass jemand draußen geblieben ist, ist ja nichts negatives. Höchstens nervig. Aber das lässt sich, wie beschrieben, leicht ändern.

p.s. Es wird genug Menschen geben, die diese fehlgeschlagenen Versuche haben und einfach ignorieren. Die liest man aber selten, da die es ja einfach ignorieren.

OK, habe es jetzt Dank @totow gefunden bei Cloudflare wie man Regeln zum blockieren erstellt. Ich kann dort 5 Regeln erstellen und habe mal Asien als Kontinent und die Russische Föderation als Land geblockt.
3 habe ich noch über, was wäre da sinnvoll?

VG
B.

Wobei man aber auch sagen muss das vermutlich diese Lücke erst der Auslöser für die dann später stattgefundene Überprüfung war.

Amen

Vielleicht auch noch eine allgemeine Anmerkung dazu: Man sollte sich auch nicht “blindlinks” alles was es irgendwo an irgendwelchen HA Addons, Integrationen und sonstigen Dingen für HA gibt installieren. Bei irgendwelchen offiziellen HA Integrationen und Addons kann man eher davon ausgehen das diese auch im Hinblick auf das Thema Sicherheit eher und mehr überprüft/getestet werden als irgendwelche Dinge die Peter Lustig oder Lieschen Müller mal eben nebenbei für HA programmiert haben und dann irgendwo als Download zur Verfügung stellen.

VG Jim

Und wie konkret sieht da die Security dann aus, dass du die Geräte in deinem Heimnetzwerk steuern kannst?

Warum verlierst du den Spaß daran? Sehe es doch positiv neue Materie, neues Wissen und Weiterbildung. Ich sehe absolut nichts negatives sich darüber Gedanken zu machen und ein wenig Basiswissen aufzubauen. Hilft dir auch bei weiteren Systeme.

Kommt drauf an was du erwartest, aber ja bissl Infos gibt, aber kein fertiges Tutorial oder Video.

Service 1 “normale” Alexa Integration, die bei mir läuft, erklärt die grundsätzliche Idee. Doku ist ein wenig outdated und Tipps gibt in einem Issue im Original-Repo.

Ein wenig ausführlicher der zweite Service der läuft, um Frage Antworten mit Alexa zu machen ist hier. Beide Dokus kannst kombinieren

Ich gehe da ja er die Whitelist method und nicht die Blacklist.
So sieht es bei mir momentan aus:

grafik1412×808 37.8 KB

(not ip.geoip.country in {"AT" "BE" "BG" "HR" "CZ" "DK" "EE" "FI" "FR" "DE" "GR" "HU" "IE" "IT" "LV" "LI" "LT" "LU" "MT" "MC" "NL" "NO" "PL" "PT" "RO" "SK" "SI" "ES" "SE"})

ich habe auch noch Bots geblockt:

grafik673×622 21.6 KB

grafik1123×96 5.93 KB

Edit:
Du kanst Asia und Rusland auch in einer Regel blocken:

grafik1326×592 23.8 KB

LG

Ich nutz Cloudflare nicht, deswegen frag ich mal, was hats denn da noch für Optionen im “Blockieren” Auswahlfeld? Ich frage weil man sich noch ein bisschen mehr tarnen kann in dem man nicht blockiert (Error 403 - Forbidden) sondern “Verwerfen” oder ähnliches einstellt, was ein Fehler 404 - Nicht erreichbar auswirft.

Das ist ein gute Idee, hier ist die Auswahl:

Bei bei Überspringen überspringt/verwirft er die anfrage aber nicht:

grafik1223×502 29.9 KB

Zur Info es ist auch nicht die Standard 403 sondern eine Seite von Cloudflare:

grafik1165×922 37.7 KB

LG

So hatte ich das auch einmal gelöst, nur musste ich dann für den “Google Assistent” gewisse ASN wieder freigeben. Vielleicht wissenswert sollte jmd. North America blocken und über die Actions gehen und nicht Nabu Casa.

Auch ich hatte nach der Umstellung auf Cloudflare und Co EINEN abgewehrten Loginversuch und seitdem Ruhe…ich denke mit Deinen Maßnahmen bist Du gut gerüstet.

Voll dämlich von Cloudflare, es gibt genügend Leute die darauf eher anspringen als wenn man meint das da einfach nichts ist. Macht man bei einem Mailserver ja auch so die Mail einfach zu kübeln als dem Spam-Sender aufgrund der Fehlermeldung noch mitzuteilen das die Adresse sehr wohl existiert oder was für Regeln der Server hat.

Guten Morgen,
ich nutze auch Cloudflared zum Absichern meiner HA Instanz.
Innerhalb der WAF kann man auch per mTLS Client Zertifikat die Instanz absichern.

Hat den Nachteil, das auf jedem Client der später auf HA zugreifen soll, zuvor die Zertifikate installiert werden müssen.
Dafür wird dann kein 2FA mehr benötigt.
Dieser Blog Protecting Home Assistant with Cloudflare Access and mTLS on Android beschreibt das Vorgehen hilfreich.

Ich nutze jedoch KEINE Alexa Integration. Ich weiß nicht, ob Alexa sich auch per mTLS Zertifikat am HA authentifizieren kann.
Nutzt das jemand von euch also Cloudflared + mTLS Zertifikat + bidirektionale Alexa Integration?

VG Alex