Remoteabsicherung HA, generelle Frage

Caldrik · 8. Juli 2024 um 08:56

Hallo,

ich habe jetzt eine Weile Foren durchstöbert und würde gerne mal mein allgemeines Wissen zum Thema “Remotezugriff” aufstocken lassen.

Aktuell nutze ich meine HA-Instanz mit Cloudflare gemäß dem Video von Simon.
Jetzt habe ich aber doch etwas Angst, da jeder ja jetzt über die URL auf meine Instanz kommen würde.

Ein Bekannter von mir arbeitet mit Tailscale, was bei mir im Haus leider nicht gehen würde, da meine Frau mit ihrem Diensttelefon keine VPNs nutzen kann. Also generell ist der Zugriff über einen VPN für sie nicht möglich.

Somit bleiben mir doch eigentlich nur die Nabu Casa Lösung oder Cloudflare oder? Wie bekomme ich Cloudflare so “sicher” das nicht jeder x-Beliebige Mensch die Seite sehen kann? Habe schon eine WAF drin, die zumindest nur Zugriffe aus DE zulässt, was aber auch nicht sonderlich hilfreich ist, da wir oft im EU-Ausland unterwegs sind und alle 2 Jahre auch in den USA. Gibt es irgendwo eine explizite Anleitung oder einen Vergleich, was wann wie besser ist?

Gruß
Martin

Burnz · 8. Juli 2024 um 09:12

Niemand kommt auf deine Instanz. man sieht maximal einen Anmeldebildschirm. Selbst wenn es jemandem gelingt, deinen User + Passwort zu erraten, solltest du auf jeden Fall die 2 Faktor Authentifizierung aktivieren.

Was soll dann noch passieren?

Caldrik · 8. Juli 2024 um 09:23

2-Faktor für mich ist aktiv, bei meiner Frau noch nicht.

Gibt es denn eine Möglichkeit das Ganze noch weiter zu sichern? So das ich nur bestimmt Leute generell erst den Bildschirm sehen lasse? Zertifikat oder ähnliches?

harryp · 8. Juli 2024 um 09:27

Aktuell m.W. nicht.

Aber die HA-Entwickler sind an einem solchen Feature dran, dass nur bekannte Geräte die Anmeldemaske sehen.

Schau mal in die Beta-Releasenotes vom 2024.5 bzw. entsprechende YT-Videos dazu.
Leider ist die Einführung jetzt schon 2x verschoben worden.

Osorkon · 8. Juli 2024 um 10:01

Ein sicheres Passwort, welches regelmäßig geändert wird und die 2FA finde ich schon relativ sicher. 2FA dann aber bitte konsequent für alle Benutzer!

Meinst Du damit einen Cloudflare Tunnel?
Hier hass Du zusätzlich die Möglichkeit, den Zugriff nur auf bestimmte Länder IP zu begrenzen. Oder zusätzlich noch eine Zusätzliche Authentifizierung einzubauen.

Gruß
Osorkon

Caldrik · 8. Juli 2024 um 10:06

Jo meine den Tunnel, hab auch schon auf DE begrenzt, aber das ist wie gesagt nicht so sinnvoll. da wir öfter mal im Ausland sind.

Caldrik · 8. Juli 2024 um 10:07

Keine Ahnung wie man auf 2 Posts gleichzeitig antwortet

Genau sowas wäre das was ich suche, ich schaus mir mal an, danke!

mostie · 8. Juli 2024 um 12:13

Man kann vieles machen. Reverse Proxy voran, Client Certificate … usw. Man benötigt aber auch ein bischen Wissen um das vernünftig zu machen.

Was oft vergessen wird, je mehr du einbaust desto komplexer wird das Ganze. Dadurch besteht die Gefahr dass man vermeintlich durch tausend Firewalls, IP Sperren, … alles dicht hat und aus Unwissenheit eine rießige Hintertür öffnet.

Ich kann nicht beurteilen wie gut die HA Authentication Pen-getestet ist, aber durch die hohe Verbreitung würde ich dem erstmal vertrauen. Zusätzlich noch MFA und gut ist.