ich bekomme fast jeden Tag die Meldung:
„Login attempt or request with invalid authentication from… 104.131.184.254 (104.131.184.254). See the log for details.“
Die IP-Adresse aus dem Internet variiert logischerweise ständig.
Es kommt nicht von mir selbst (oft steht auch eine AWS Domain statt der IP drin), weshalb ich davon ausgehe, dass sich jemand in mein durch Cloudflared nach außen offenes HA versucht einzuwählen.
Ich habe natürlich 2FA an.
Ich bin mir aber gerade nicht sicher, ob ich mir nun sorgen machen sollte oder eher wenn die Meldung nicht mehr kommt.
Kann ich neben https/SSL + 2FA noch etwas machen um meinen Zugang weiter einzuschränken?
Z.B. nur bestimmte MAC Adressen etc. zulassen?
Moin, ich habe vor Homeassistant einen Reverse Proxy (Nginx) welcher die Anfragen sortiert.
Ich habe hier einfach eine IP Einschränkung vorgenommen.
Sieht so aus:
location = / {
include /etc/nginx/conf.d/dynamicips;
deny all;
}
Wenn man eine Statische IP hat, könnte man hier statt dem include Part auch direkt allow 123.456.789.123 einsetzen.
Da ich dynamische IPs habe, habe ich es über ein Script gelöst. Die Nginx Direktive erlaubt also alle IPs die in der Datei /etc/nginx/conf.d/dynamicips steht.
Auf meiner Nginx VM läuft das besagte Script, welches meine DynDNS Domain regelmäßig anpingt und die jeweilige IP in die Datei einträgt. Für den mobilen Zugriff habe ich eine zweite DynDNS Domain angelegt, welche regelmäßig von meinem Handy geupdatet wird.
Scheint zu klappen. 3 Tage lang keinen Fremdzugriff hatte ich schon lange nicht mehr. Was man bei Cloudflare mit dem Free-Plan bekommt ist schon bemerkenswert gut.
Da stellt sich mir eine Frage:
Wenn ich mich mit dem Handy im Ausland befinde, könnte ich mich per VPN mit Deutschland verbinden.
Ob ich dann die Auslandsblockade von Cloudflare umgehe und wieder Zugriff bekomme?
ich habe leider dasselbe Problem, und nun auch WAF so eingestellt.
Ich hoffe, das hilft.
Ich habe aber noch zwei Fragen:
Wie finde ich heraus, ob ich nur per HTTPS auf meine Seite zugreifen kann? Wenn ich im Browser HTTP eingebe, wechselt er beim Verbinden automatisch auf HTTPS. Kann ich das davon ableiten?
Und bei Cloudflare unter SSL/TLS ist in der Config „flexibel“ ausgewählt.
Sollte ich das auf „Vollständig“ oder „strikt“ ändern?
Habe aktuell auch „Verschlüsselungsmodus: Flexibel“
Wenn ich meine URL mit http eingebe wechselt der Browser automatisch auf https.
Nur wenn ich die Lokale IP angeben komme ich via http auf mein HA.
Aber Experte bin ich in diesem Thema nicht.
Würde mich auch interessieren was hier angebracht wäre.
Wenn es keine Auswirkung für HA gibt würde ja
" Strikt (Ursprungs-Pull-Request, nur SSL)" am meisten Sicherheit bieten
Ist fast das selbe, beim Obere Bild kannst du ein Land freigeben.
Beim unteren Bild ist es eine List da kann man dann das Land noch extra eintragen wo man z.B. Urlaub macht.
Ich habe bei mir 3 Regeln:
Geoblocking und Bekannte Bots blocken. Bin da bisschen lockerer bei den Ländern gewesen, damit ich Urlaub keine Probleme bekomme.
Eine Regel um die 3. Regel zu skippen.
Bei bestimmten User Agent bzw. wenn die Anfrage von einem Bestimmten Provider kommt, bin bei einem Lokalen Provider, wird die letzte Regel übersprungen. Habe mal die AS Number von meinem Provider unkenntlich gemacht.
(ip.src.asnum eq 1***3) or (http.user_agent contains "Home Assistant")
wow,
deine Erste Regel habe ich nun auch - also habe meine noch mit den Bots erweitert.
2+3 hört sich sehr interessant an - verstehe ich aber leider überhaupt nicht
Die AS Number ist das so was wie Telekom, oder Vodafone, oder…?
und diese Nummer kann ich bei meinen Anbieter erfragen?
Und user agent die Home Assistant App?
zu 3) ha.xyz.de wäre sozusagend deine Domain die damit geblockt wird?
Die Regeln werden der Reihe nach abgearbeitet.
Deswegen in der ersten Regel schon mal grob weg blocken.
In der 2. wird geguckt ob es zutrifft, wenn ja wird die 3. Regel übersprungen. Also wen der Aufruf von meinem Provider oder der App kommt, wird Regel 3 Übersprungen.
In Regel 3 Blockiere ich dann die Seite.
Ich habe aber auch keine Alexa oder so die zugriff brauch, die wird so natürlich auch ausgesperrt.
vielen Dank für deine Erklärung.
Ich habe gerade mal versucht das so nachzubauen.
Wäre das dann so richtig?
Ich hätte dann damit also 3 Regeln unter WAF?