HA Login: invalid authentication (von Unbekannt aus dem Internet)

HA-Sascha · 19. Januar 2025 um 10:08

Hi zusammen,

ich bekomme fast jeden Tag die Meldung:
„Login attempt or request with invalid authentication from… 104.131.184.254 (104.131.184.254). See the log for details.“

Die IP-Adresse aus dem Internet variiert logischerweise ständig.
Es kommt nicht von mir selbst (oft steht auch eine AWS Domain statt der IP drin), weshalb ich davon ausgehe, dass sich jemand in mein durch Cloudflared nach außen offenes HA versucht einzuwählen.

Ich habe natürlich 2FA an.
Ich bin mir aber gerade nicht sicher, ob ich mir nun sorgen machen sollte oder eher wenn die Meldung nicht mehr kommt.

Kann ich neben https/SSL + 2FA noch etwas machen um meinen Zugang weiter einzuschränken?
Z.B. nur bestimmte MAC Adressen etc. zulassen?

Flashpixel · 19. Januar 2025 um 15:11

Hast du bei Cloudflare IP Adressen aus dem Ausland gesperrt, oder brauchst du Zugriff aus dem Ausland (Urlaub etc,)?

SteuerDeinLeben · 20. Januar 2025 um 05:58

Wenn du das alles umgesetzt hast, dann kannst du es getrost ignorieren.

HA-Sascha · 20. Januar 2025 um 11:28

Danke, interessanter Punkt.
Zumindest in der Zeit in der ich nicht im Urlaub bin würde das für mehr Sicherheit sorgen.

NOKAT · 20. Januar 2025 um 14:03

Moin, ich habe vor Homeassistant einen Reverse Proxy (Nginx) welcher die Anfragen sortiert.

Ich habe hier einfach eine IP Einschränkung vorgenommen.

Sieht so aus:

location = / {
	include /etc/nginx/conf.d/dynamicips;
	deny all;
}

Wenn man eine Statische IP hat, könnte man hier statt dem include Part auch direkt allow 123.456.789.123 einsetzen.

Da ich dynamische IPs habe, habe ich es über ein Script gelöst. Die Nginx Direktive erlaubt also alle IPs die in der Datei /etc/nginx/conf.d/dynamicips steht.

Auf meiner Nginx VM läuft das besagte Script, welches meine DynDNS Domain regelmäßig anpingt und die jeweilige IP in die Datei einträgt. Für den mobilen Zugriff habe ich eine zweite DynDNS Domain angelegt, welche regelmäßig von meinem Handy geupdatet wird.

Das Script findet Ihr hier: Scripts/nginx-dynamic-multiple.sh at main · STHNokat/Scripts · GitHub

Wird dann regelmäßig per Cronjob ausgeführt.

Für mich funktioniert das bis dato sehr gut.

HA-Sascha · 21. Januar 2025 um 10:11

Macht man das in Cloudflare mit:
„Web Application Firewall (WAF)“: WENN Land ungleich Germany DANN blocken ?

Flashpixel · 21. Januar 2025 um 11:28

Ja genau: Cloudflare Dashboard → Domain → Sicherheit → WAV → beutezrdefinierte Regeln → Land → ungleich DE → aktion: blockieren

HA-Sascha · 24. Januar 2025 um 06:50

Scheint zu klappen. 3 Tage lang keinen Fremdzugriff hatte ich schon lange nicht mehr. Was man bei Cloudflare mit dem Free-Plan bekommt ist schon bemerkenswert gut.

Schorsch · 24. Januar 2025 um 11:45

Habe den Tipp von Flashpixel auch nachvollzogen.
Mal schauen, ob es wirkt.

Joo, funzt.
Habe mein VPN mal nach Poland verbunden.

Da stellt sich mir eine Frage:
Wenn ich mich mit dem Handy im Ausland befinde, könnte ich mich per VPN mit Deutschland verbinden.
Ob ich dann die Auslandsblockade von Cloudflare umgehe und wieder Zugriff bekomme?

Flashpixel · 24. Januar 2025 um 13:04

sollte eigentlich gehen, wenn du dich per VPN verbindest.

Dane · 31. Januar 2025 um 17:31

Hi,

ich habe leider dasselbe Problem, und nun auch WAF so eingestellt.

Ich hoffe, das hilft.

Ich habe aber noch zwei Fragen:

Wie finde ich heraus, ob ich nur per HTTPS auf meine Seite zugreifen kann? Wenn ich im Browser HTTP eingebe, wechselt er beim Verbinden automatisch auf HTTPS. Kann ich das davon ableiten?

Und bei Cloudflare unter SSL/TLS ist in der Config „flexibel“ ausgewählt.

Sollte ich das auf „Vollständig“ oder „strikt“ ändern?

Viele Grüße

Dane

HA-Sascha · 1. Februar 2025 um 11:07

Habe aktuell auch „Verschlüsselungsmodus: Flexibel“

Wenn ich meine URL mit http eingebe wechselt der Browser automatisch auf https.
Nur wenn ich die Lokale IP angeben komme ich via http auf mein HA.

Aber Experte bin ich in diesem Thema nicht.
Würde mich auch interessieren was hier angebracht wäre.
Wenn es keine Auswirkung für HA gibt würde ja
" Strikt (Ursprungs-Pull-Request, nur SSL)" am meisten Sicherheit bieten

Schorsch · 1. Februar 2025 um 11:29

Nachdem ich das hier vor 8 Tagen gemacht habe

ist das hier nicht mehr aufgetreten

Dane · 1. Februar 2025 um 13:16

Hi,

das mit dem Land habe ich so.
Aber ist ja wohl das selbe?

Und wie hast du SSL eingestellt?
Oder gibt es vielleicht noch weitere Einstellungen, die man machen sollte?
Viele Grüße

Schorsch · 1. Februar 2025 um 13:28

Wahrscheinlich ist es dasselbe.
Auch wenn die Ausdruckvorschau unterschiedlich aussieht.

SSL habe ich noch nicht eingestellt.

Dane · 1. Februar 2025 um 14:00

Danke,
dann lasse ich es so.
SSL habe ich jetzt mal auf „Vollständig“ geändert, da „strikt“ extra kostet.
Läuft mit HA app ganz normal

totow · 1. Februar 2025 um 15:45

Ist fast das selbe, beim Obere Bild kannst du ein Land freigeben.
Beim unteren Bild ist es eine List da kann man dann das Land noch extra eintragen wo man z.B. Urlaub macht.

Ich habe bei mir 3 Regeln:

Geoblocking und Bekannte Bots blocken. Bin da bisschen lockerer bei den Ländern gewesen, damit ich Urlaub keine Probleme bekomme.

(not ip.geoip.country in {"AT" "BE" "BG" "HR" "CZ" "DK" "EE" "FI" "FR" "DE" "GR" "HU" "IE" "IT" "LV" "LI" "LT" "LU" "MT" "MC" "NL" "NO" "PL" "PT" "RO" "SK" "SI" "ES" "SE"}) or (cf.client.bot)

Eine Regel um die 3. Regel zu skippen.
Bei bestimmten User Agent bzw. wenn die Anfrage von einem Bestimmten Provider kommt, bin bei einem Lokalen Provider, wird die letzte Regel übersprungen.
Habe mal die AS Number von meinem Provider unkenntlich gemacht.

(ip.src.asnum eq 1***3) or (http.user_agent contains "Home Assistant")

Mein Seite generell blockieren

(starts_with(http.request.full_uri, "https://ha.xyz.de"))

Heißt aber auch das ich von extern im Urlaub nur per App auf HA zugreifen kann und nicht im Browser, außer man manipuliert den User Agent vom Browser.

Heißt jeder der im Browser auf mein HA zugraifen möcht und nicht bei meinem Provider ist bekommt die Meldung:

LG

Dane · 2. Februar 2025 um 17:43

Hallo totow,

wow,
deine Erste Regel habe ich nun auch - also habe meine noch mit den Bots erweitert.

2+3 hört sich sehr interessant an - verstehe ich aber leider überhaupt nicht

Die AS Number ist das so was wie Telekom, oder Vodafone, oder…?
und diese Nummer kann ich bei meinen Anbieter erfragen?
Und user agent die Home Assistant App?

zu 3) ha.xyz.de wäre sozusagend deine Domain die damit geblockt wird?

Viele Grüße

totow · 2. Februar 2025 um 18:09

entweder Google oder du guckst mal in die Analytics:

Ja

Regel 1+3 stehen bei mir auf Block:

und Regel 2 auf Skip:

Die Regeln werden der Reihe nach abgearbeitet.
Deswegen in der ersten Regel schon mal grob weg blocken.
In der 2. wird geguckt ob es zutrifft, wenn ja wird die 3. Regel übersprungen. Also wen der Aufruf von meinem Provider oder der App kommt, wird Regel 3 Übersprungen.
In Regel 3 Blockiere ich dann die Seite.

Ich habe aber auch keine Alexa oder so die zugriff brauch, die wird so natürlich auch ausgesperrt.

Dane · 2. Februar 2025 um 20:16

Hi totow,

vielen Dank für deine Erklärung.
Ich habe gerade mal versucht das so nachzubauen.
Wäre das dann so richtig?
Ich hätte dann damit also 3 Regeln unter WAF?

Viele Grüße