HomeAssistant Sicherheit bzgl. Zugriff von extern

[blurrrr]

In Bezug auf den Thread: Achtung: Sicherheitslücke im Home Assistant Supervisor (unterhalb von Version 2023.03.1) von @carsten_h

Also wirklich "kritisch" daran ist erstmal jener hier...

The issue allowed an attacker to remotely bypass authentication

... und eher nicht so schön "on top" dann noch dieser...

Our analysis shows that this issue has been in Home Assistant since the introduction of the Supervisor in 2017.

Also war es dann bei öffentlich erreichbaren HomeAssistant-Instanzen jetzt 5-6 Jahre möglich, sich einfach an der Authentifizierung vorbei zu mogeln und auf die Dinge in HomeAssistant zuzugreifen.... Ein Hoch auf das Internet!

-> "Mit Li..... VPN wäre das nicht passiert!"

Wäre mitunter aber vielleicht auch nicht die verkehrteste Idee, wenn man sowas mal etwas ausführlicher thematisieren würde... Hatte es (genereller Natur) hier ja schon mal kurz angerissen, aber da guckt ja auch keiner nach (muss man ja auch mal realistisch bleiben).

Also "sicher" (wenn auch "umständlich" in den Augen vieler und sicherlich auch nicht immer ganz trivial) wäre sicherlich die Nutzung eines VPN zur heimischen Einwahl. Alternativ eben noch eine Erweiterung der Authentifizierung (2FA, etc.), aber so wie sich das liest (zugegebenermaßen sind die Infos ja auch recht dürftig), könnte man auch eine 2FA umgehen (und vermutlich auch anderweitige Authentifizierungsprovider).
Insofern wäre es ggf. auch sinnvoll, wenn man einfach noch etwas vorgelagertes hätte, z.B. in Form eines Reverse-Proxy mit zusätzlicher Authentifizierung, allerdings bleibt da die Benutzerfreundlichkeit auch wieder auf der Strecke. Damit es nicht "nervt" könnte man die Authentifizierung noch anhand von Zertifikaten umsetzen, aber auch all das muss erstmal eingerichtet und auf die Clients verteilt werden. In grösseren Umgebungen sicherlich kein Ding, aber nur um ein HomeAssistant zu schützen? Möglichkeiten gibt es sicherlich einige, aber es muss ja auch für den Normalverbraucher irgendwo machbar und wartbar sein, ansonsten macht es ja auch keinen Spass.

Wie sind denn eure Meinungen dazu? Ich persönlich würde schon eher sagen: VPN und fertig

 

[tiermutter]

Wie sind denn eure Meinungen dazu?

VPN und fertig

Dito. Kann heute fast jede Fritte.

Sein HA, welches auch noch diverse Dinge steuert ohne Maßnahmen erreichbar zu machen ist ja noch fahrlässiger als ein NAS mit gutem Backup auf diese Weise ins Internet zu stellen...

 

[ThMF.live]

Das Thema ist ja schon diverse Male zur Sprache gekommen. Wie seht Ihr den Zugang über Nabu Casa?

 

[the other]

Moinsen,
Generell halte ich es mit externen Zugriffen so: geht nur via vpn. Ich habe den Luxus, dass ich für dritte keine Dienste zur Verfügung stelle. Keine Fotoordner, keine gemeinsame Datenbearbeitungen, keine von anderen genutzten cloud Dinge. Auf home assistant habe nur ich Zugriff, hier interessiert sich sonst niemand dafür. Kurz: vpn erscheint da wie gemacht für.

Wenn ich von extern ins LAN muss, dann entweder um auf eine Datenbank zuzugreifen (Passwortmanager) oder weil ich genau das eine Dokument gerade benötige oder Bilder im Urlaub nach Hause zu syncen. Also auch hier sehr wenig Notwendigkeiten. Den Zugriff auf den vpn Server habe ich auf der fritzbox per Portweiterleitung manuell eingerichtet, der Server selber ist hinter einem geoIP Blocker, abgesichert mit 2fa und Zertifikaten plus Passwort. Und über das Jahr auch gerne mal inaktiv bei nicht Nutzung.

Von clouddiensten wie NABU casa halte ich nix, weil ich diese einfach nicht benötigt habe bisher. Außerdem ist home assistant ja auch deshalb so nett, weil diverse Hersteller clouds umgangen werden können. Wie auch bei Kalender, Adressbuch, Notizen usw. will ich weg von clouddiensten anderer. Das läuft auf dem NAS. In dieser Denkweise möchte ich auch für home assistant keine externe zusätzliche Ebene nutzen. Wenn ich (warum auch immer bei meinen Ansprüchen) von außen auf den home assistant müsste...vpn. Und ja, damit vergebe ich sicherlich einige extra features, spare aber Geld und behänge mich nicht mit noch mehr Dingen, die ich bis eben null benötigt habe.
Jm2c

 

[Barungar]

Das Thema ist ja schon diverse Male zur Sprache gekommen. Wie seht Ihr den Zugang über Nabu Casa?

Ich bin nicht 100% sicher; aber soweit ich das Prinzip von Nabu Casa verstanden habe, dürfte das nicht betroffen sein.
Weil Nabu Casa macht Dein HA nicht "öffentlich" erreichbar. Sondern Dein HA baut eine ausgehende TCP-Verbindung zu den Nabu Casa-Cloudservern auf. Daher hast Du ich "normales TCP-Outgoing". Während in den anderen beschriebenen Fällen, die die nun "bedroht" sind/waren. Wird ja mittels Portfreischaltung gezielt die eigene HA selbst über Port 443/tcp oder schlimmer Port 8123/tcp geöffnet.

 

[carsten_h]

selbst über Port 443/tcp oder schlimmer Port 8123/tcp geöffnet

Warum ist der Port 8123 schlimmer?

 

[tiermutter]

Weil default und vor allem nur http statt https...

 

[carsten_h]

nur http statt https...

Nein!
Wenn man beispielsweise das Duckdns Add-On benutzt, hat man ja zum einen einen Namen von außen und auch die Verschlüsselung per SSL aktiv. Dann wird über den Port 8123 verschlüsselt übertragen.

 

[Barungar]

@carsten_h Ersten weiß ich nicht, was das Plugin macht und zweitens nutzt nicht jeder das Plugin.
Eine Prüfung auf shodan zeigt, dass in meiner Stichprobe JEDER 8123 http und unverschlüsselt ist.

 

[carsten_h]

Ersten weiß ich nicht, was das Plugin macht und zweitens nutzt nicht jeder das Plugin.

Es ist ein Add-On, da es parallel zu Home Assistant völlig unabhängig läuft. Plugins gibt es bei Home Assistant nicht. ;-) (nur um mal Haare zu spalten)

Das Add-On sorgt dafür, daß die Verbindung zu Home Assistant immer verschlüsselt ist, also auch der lokale Zugriff ist verschlüsselt, auch wenn das mit der Nutzung von https://<IP-Adresse> natürlich nicht geht. Außerdem hat man noch einen dynamischen DNS-Eintrag über duckdns.org.

dass in meiner Stichprobe JEDER 8123 http und unverschlüsselt ist.

Das ist natürlich tödlich.

Aber trotzdem seltsam, daß das jeden 8123 betrifft, denn ein "paar" sollten schon verschlüsselt sein.

 

[azrael783]

Ich habe Home-Assistant von außen via Nginx Proxy erreichbar. Bisher bin ich von Angriffen verschont geblieben. Eine VPN Verbindung kann ich natürlich auch aufbauen, aber für mich war es einfach praktikabler HA von außen erreichbar zu haben. Somit kann ich zb. die Geo-Fencing Funktion der HA App nutzen.

 

[Barungar]

Was spricht gegen die Nutzung der HA App Geofencing Funktion, wenn ein VPN aktiv ist?
Die App wird ihr Position doch sicher über den GPS-Sensor beziehen und nicht über die GeoIP.

 

[tiermutter]

Ist vermutlich darauf gemünzt, dass das dann nicht mehr funktioniert, wenn das VPN nicht verbunden ist, weil man es vergessen hat zu aktivieren; was man ja automatisieren kann (und bei mir seit dem vorletzten Android Update nicht mehr klappt).