Danke, habe das jetzt mal so gemacht will mich ja nicht im nächsten Urlaub aussperren.
LG
1 „Gefällt mir“
Fang erstmal mit Google an. Die Yubikeys sind Hardwareschlüssel -meiner mit NFC - welche sowohl eine App für Windows wie auch für Android anbieten.
Funktionsprinzip ist das gleiche.
Beides sehr gut erklärt und damals ausschlaggebend bei mir. Ich habe mittlerweile alles was geht mit den Yubikeys abgesichert: Google, PayPal, Synology, Cloudflare, web.de,… und viele mehr.
Richtig. Wobei den habe ich zum Beispiel mit Bitwarden ersetzt.
Wie @sirector sagte, ist es Hardware. Das macht es noch mal sicherer. Weil man nur per Software das ganze nicht bedienen kann.
Es ist aber nichts, was man sich extra für Home Assistant anschaffen müsste.
Ich habe lange einen genutzt. Problem ist, dass man ihn eben auch immer dabei habe oder sicher aufbewahren muss…
@tarag
Wie kann Bitwarden den Google Authentifikator ersetzen ?? Ist doch „bloß“ ein Passwortsafe ?
Das macht es ja so sicher 
. Ein Backup sollte aber immer sein. Ggf. den Security Token drucken und sicher verschließen. Aber halt wahrscheinlich länger und geht weniger kaputt wie ein Handy.
Aber du hast Recht: Nicht für HA alleine, sondern VOR ALLEM beim E-Mail Account. Dort ist die größte Schwachstelle. Ich sage nur: Passwort vergessen. Und wo wird der Link hingeschickt? Zur E-Mail Adresse. E-Mail Postfach absichern, sollte es erste sein, was man machen sollte. 
Bitwarden hat, wie ziemlich jede andere Passwort Generator Software eine 2FA Funktion, um den zweiten Faktor zu generieren.
Damit wird dies auch über meine Geräte synchronisiert.
Ich habe mehr YubiKey als Handys gekillt. Und ich würde eben auch keine stand alone App auf dem Handy dafür nutzen.
Wie ist du das geschafft? 
meine habe ich schon 2 Jahre im Dauereinsatz. Ich habe aber auch die Security Token, die QR Codes und ggf. Backup-Codes im Keepass gesichert. Somit kann ich alles schnell wieder herstellen.
Jeder hat Talenten 
Insbesondere Versionen für den Schlüsselbund sind bei mir prädestiniert dafür gekillt zu werden.
Wo kann man das bei Cloudflare einstellen?
Hab ich doch weiter unten im Thread mit Screenshots beschrieben
1 „Gefällt mir“
Passiert, wenn man nicht bis zu Ende liest
1 „Gefällt mir“
Moin,
ich habe meine WAF Regeln in Cloudflare mal überarbeitet, vielleicht fühlt sich ja einer davon inspiriert und möchte das vielleicht auch machen.
Ich habe jetzt 3 Regeln
- Blockt bekannte Bots, Grobes Geo-blocking und ich sperre da noch den zugriff auf die Config Seite von einem Service den ich hoste (wird immer angewandt)
- Prüft den Verwendeten User Agent und die verwendete AS Num (vom welchen Provider die anfrage kommt, bin bei einem lokalen). (Wenn eins von beiden zustimmt wird Regel 3 übersprungen.)
- Hier blockiere ich den Zugriff auf HA und andere Dienste, wird ja übersprungen durch die 2. Regel.
Für die Details der Regeln bitte auf diesen Text klicken.
Ich Zeige hier jetzt nur die Einträge für HA.
- Wie komme ich dahin wo ich die Regel erstelle?
Nach dem Login gehst du auf deine Domain:
Und dann geht es hier weiter:
Zur Info ich Poste auch immer die Ausdrucksvorschau, dann könntet ihr das hier über Copy and Past einfügen:
Regel 1:
Hier kommt alles rein was immer geblockt werden soll.
(not ip.geoip.country in {"AT" "BE" "BG" "HR" "CZ" "DK" "EE" "FI" "FR" "DE" "GR" "HU" "IE" "IT" "LV" "LI" "LT" "LU" "MT" "MC" "NL" "NO" "PL" "PT" "RO" "SK" "SI" "ES" "SE"}) or (cf.client.bot)
Sind ein paar mehr Länder drin da meine Eltern viel mir ihrem Wohnmobile unterwegs sind.
Regel 2
Hier kommt das Rein damit wir selber auch unsere in Regel 3 Geblockte Seiten rauf kommen: User Agent, AS Num, …
(ip.src.asnum in {3320 44178}) or (http.user_agent contains "Home Assistant")
AS Num habe ich geändert, das müssten jetzt die sein für Telekom Festnetz und Mobil sein. Die findet man entweder über googlen raus oder man guckt sich seine Verbindungen in der Analytics von Cloudflare an, dort werden diese auch gezeigt.
Den User Agent vom iPhone konnte ich nicht Testen wir haben nur Android.
Wichtig wen diese Regel zustimmt wollen wir nicht Blockieren!
Regel 3
Hier Blockiere ich alles wo man nur drauf kommen soll wenn Regel 2 Zutrifft.
Domain muss natürlich angepasst werden, sollte klar sein.
(starts_with(http.request.full_uri, "https://ha.xyz.de"))
LG
Tobi
7 „Gefällt mir“
Hallo
ich kämpfe auch mit dem Problem “bc.googleusercontent.com”,
Doch deine 3. Regel habe ich nicht verstanden. Ich nehme an, das ist deine URL.
Wenn ich meine einsetze, dann werden die Karten nicht mehr angezeigt!? Denn die URL wird ja gesperrt.
Was habe ich da falsch verstanden?
Was soll mir das sagen?
Hast du google Home verbunden? Dann darfst du das natürlich nich über Geoblocking rauskicken (weiß selber nicht genau wo die EU Rechencenter stehen) und musst die auch in die 2. Regel rein bekommen damit die 3. Regel übersprungen wird. (Googel: AS15169)
Ja ist meine, was verstehst du dadran nicht?
In Regel 3 wird alles blockiert, wir ja eh übersprungen wen Regel 2 zutrifft.
Hast du Regel 2 angepasst dass da die AS Num. von deinem Provider drin ist?
Edit:
Wollte nochmal bei mein Post wo ich alles beschrieben habe, eine Liste von AS Nummern einfügen kann den Beitrag aber nicht mehr bearbeiten vielleicht kann es da ein @Moderatoren bei Regel 2 nochmal mit einfügen:
In der Liste sollten alle Provider Deutschlands sein, zu denen mehr als 100.000 IP’s gehören:
AS Number Provider
8881 1&1 Versatel Deutschland GmbH
60294 Deutsche Glasfaser Wholesale GmbH
3320 Deutsche Telekom AG
15763 DOKOM Gesellschaft fuer Telekommunikation mbH
12312 ecotel communication ag
12897 ENTEGA Medianet GmbH
9145 EWE TEL GmbH
13045 htp GmbH
42652 inexio Informationstechnologie und Telekommunikation Gmbh
8767 M-net Telekommunikations GmbH
8422 NetCologne Gesellschaft fur Telekommunikation mbH
20676 Plusnet GmbH
207790 SWN Stadtwerke Neumuenster GmbH
35244 Tele Columbus AG
16202 Tele Columbus AG
6805 Telefonica Germany GmbH & Co.OHG (O2)
3209 Vodafone GmbH
15943 wilhelm.tel GmbH
LG
3 „Gefällt mir“
Vielen Dank für deine ausführlichen Kommentare.
[quote=“jove, post:56, topic:14677”]
ich kämpfe auch mit dem Problem “bc.googleusercontent.com”
[/quote] bezog sich auf eine Diskussion, über die ich hierhin gelangt bin.
Ich habe anscheinend bei der Anlage der Regeln einen Fehler gemacht. Nachdem ich alle gelöscht und neu angelegt habe, scheint alles wie gewollt zu laufen.
Aber dennoch habe ich eine Verständnisfrage zur Regel 3. Denn es wird die eigene URL angegeben und dann blockiert???
Vorab schoneinmal vielen Dank für die dargestellte Lösung.
Richtig, ich will ja nicht das da jeder drauf zugreifen kann.
In HA sind zwar keine Sicherheitslücken in Login bekannt, das heißt aber auch nicht das es keine gibt.
Deswegen definiere ich in Regel 2 ausnahmen um drauf zuzugreifen, um den ganzen Rest von meinen Seiten fern zu halten, die ich da eh nicht haben möchte.
LG
Ahh, jetzt habe ich verstanden, denn mit 2 hören ja die Regeln auf, wenn positiv.
Nochmals vielen Dank
Jürgen
Moin Tobi,
danke für deine Anleitung! Ich versuche gerade über WAF Regeln sämtliche Verbindungen außer aus Deutschland zu blockieren.
Ich habe 2 Regeln:
- Land = Deutschland, Aktion = Überspringen alle verbleibenden Regeln
- Sämtliche Kontinente und bekannte Bots werden geblockt.
Magst du mal schauen ob das so hinhaut mit meinen Regeln?
