Login attempt failed

[RudiP]

Seit einigen Tagen habe ich einmal am Tag folgende Meldung in den Benachrichtigungen.

Login attempt failed
Login attempt or request with invalid authentication from 45.148.10.34 (45.148.10.34). See the log for details.

Das kommt vorwiegend nachts bzw. am frühen Morgen.
Die IP habe ich mal durch WhoIs laufen lassen. Angeblich aus Andora.

Wenn es ein Hackerangriff wäre, müßte ich aber doch viel mehr dieser Meldungen sehen. Ein Hacker würde doch kaum die Seite aufrufen, was eintippen und wenns nicht klappt, wieder gehen.

Im Log kann ich aktuell das hier sehen.

Protokolldetails (WARNUNG)

Logger: homeassistant.components.http.ban
Quelle: components/http/ban.py:136
Integration: HTTP (Dokumentation, Probleme)
Erstmals aufgetreten: 28. März 2025 um 01:14:17 (4 Vorkommnisse)
Zuletzt protokolliert: 07:13:55

• Login attempt or request with invalid authentication from 51-159-19-139.rev.poneytelecom.eu (51.159.19.139). Requested URL: '/auth/login_flow'. (Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.3)
• Login attempt or request with invalid authentication from 45.148.10.90 (45.148.10.90). Requested URL: '/media/.git/config'. (l9explore/1.2.2)
• Login attempt or request with invalid authentication from 45.148.10.34 (45.148.10.34). Requested URL: '/media/.git/config'. (l9explore/1.2.2)

Dieses "/media/" macht mich stutzig. Ja, ich habe Kameras in HA eingebunden und lasse diese auch Aufzeichnen.
Ich würde ja sagen, das es irgendwas mit meinem Tablet zu tun hat, das wenn ich da die HA App öffne, dann da was passiert.
Aber um diese Uhrzeit habe ich definitiv geschlafen.

@blurrrr
Ich weiß ja, Du hast ja eigentlich keine Ahnung, aber vielleicht ne Idee ?

 

[blurrrr]

Mahlzeit!

"Keine Ahnung" was Du da so treibst

Dieses "/media/" macht mich stutzig.

Denke, das läuft in die falsche Richtung, das hat nichts mit Cams zu tun, das "nach" dem Media ist eher interessant: "/.git/config". Du hattest initial eine IP aus AD genannt. Nun tauchen im letzten Zitat aber auch diverse IPs auf. Ist definitiv etwas automatisiertes, was versucht an Deine Git-Config (und ggf. anderweitiges) zu kommen. Mit Deinem Tablet oder den Cams hat das (meiner Meinung nach) nichts zu tun.

Wenn HA sowas bietet (oder ggf. etwas konfigurierbares an Firewall/Proxy davor sitzt), würde ich einfach die kompletten Netze sperren, von denen Du weisst, das da sowieso nix passieren wird. Würde mir halt Gedanken dazu machen, was man (Du oder Deine Systeme) von dort wollen "könnte" (oder irgendein Produkt, welches man einsetzt), oder halt auch nicht und im letzteren Fall einfach die Schotten dicht machen. Wenn dann etwas nicht mehr funktioniert, kann man ja i.d.R. auch nachschauen, was die Ziel-IP beim Fehlschlag war und sich dann überlegen, ob man diese Netze wieder freigibt. Es werden ja sicherlich div. Dinge von extern benötigt bzw. sind viele Dinge auch einfach für bessere Performance verteilt (Geo-Location).

Bin halt nicht so firm in Sachen HA, von daher weiss ich auch garnicht, was es da ggf. alles in Möglichkeiten gibt. Etwas wie fail2ban (x mal falsch anmelden = gesperrt für x Minuten/Stunden/Tage/dauerhaft) gibt es vermutlich? Im Zweifel noch ein "ignoreip = <lokales Netz>" dazu und dann kann man halt eigentlich auch schon direkt Feuer geben... Alles andere sofort beim ersten Fehlschlag dauerhaft sperren (oder für 1 Jahr, oder wie auch immer). Sinniger wäre natürlich, wenn man direkt im Vorfeld schon aussieben könnte (Firewall), damit der ganze Müll erst garnicht bis zum System kommt. So könnte man z.B. auch schon die "typischen" (CN, RU, derzeit auch UA, etc.) direkt im entsorgen. Auf irgendwelche Einschränkungen muss man da wohl eher weniger achten, denn ich glaube kaum, dass z.B. HAOS Inhalte von Github in CN oder so bezieht. Da würde dann wenn eher wieder eine Geo-Location-Geschichte greifen und es wäre irgendwas aus der EU (vielleicht ja sogar Scaleway, das würdest Du dann aber schon merken ).

Naja, irgendwie so halt... oder so...

 

[the other]

Moinsen,
bin zwar nicht @blurrrr...habe aber auch eigentlich keine Ahnung.
Du hast eine PWL für Home Assistant eingerichtet, nehme ich an? Daher dann die Versuche...
Zu deinen gemeldeten IPs:
der große Block gehört Richtung Andorra, ja > https://whoisrequest.com/ip/AS48090/45.148.10.0/24
Davon geht dann die .34 Richtung Holland > https://whoisrequest.com/ip/45.148.10.34
Und die .90 ebenso > https://whoisrequest.com/ip/45.148.10.90

Die andere IP wird hier verortet: https://whoisrequest.com/ip/51.159.19.139

Insgesamt...denke ich...dass das ein weiterer Grund dafür ist, Server nicht via PWL ins Internet freizugeben. Zumindest nicht "einfach so", da wird dann eben auch gerne geklopft und versucht.
Zumindest sollten dann einige der oben von @blurrrr vorgeschlagenen Sicherheitsnetze (Geoblocking, Sperrung der IP(bereiche), 2FA) vorhanden sein (und aktiv).
Und ja, I know, es ist unsexy, weil total aufwändig und unbequem...aber VPN ist trotzdem nice.

 

[RudiP]

Danke euch beiden erst mal, das ihr euch meinem Problem annehmt, obwohl ihr ja echt Null Ahnung habt.
Ja blurrrr, HA kann IP's blocken. Macht es auch. Habe jetzt mal die eine auffällige IP da mit rein geschrieben und schaue mal, was diese Nacht den so abgeht.

the_other, wenn Du auch keine Ahnung hast, ist mir deine Meinung herzlich Willkommen.
PWL sagt mir jetzt gerade nichts.
Ja, HA ist via DuckDNS und HTTPS von außen erreichbar. VPN habe ich sicher, aber ich mag mein Handy nicht permanent mit VPN und zu Hause verbunden haben, vor allem weil dann manche Dienste auf dem Handy nicht mehr gehen.
Und wie sieht es mit HA aus ? Kann das den überhaupt mit der HA App auf dem Handy reden, wenn das Handy mal kein VPN an hat ?
Sonst macht das keinen Sinn, wenn ich Meldungen von HA nicht auf dem Handy Empfangen kann.

CN, RU usw. sperren halte ich für wenig hilfreich. Die Hacker, die es schaffen würden, in ein System einzudringen, die wissen auch, wie man die Kennung verbirgt, nutzen selbst VPN oder haben BOT Rechner in anderen Ländern.
Die Hacker Kids, die das nicht können, naja, um die mach ich mir weniger Sorgen.

Ja, ein System komplett dicht machen ist schön, aber extrem Nervenaufreibend, wenn man irgendwas neues Installieren und nutzen will, man exakt nach Anleitung vor geht, es aber einfach nicht klappen will und man nicht darauf kommt, das es an irgendeiner Firewall liegt, die man selbst eingerichtet hat.
Kennt ihr doch sicher. Brett vor Kopp und 5 Tage umsonst rumgebastelt.

Es ist Schade, das HA da nicht mehr anzeigt. Hat derjenige nur einmal versucht, das Passwort zu erraten oder mehrfach ?
Hat es einen IP Ban gegeben, der aber nur für 30 Minuten war ?

Aber gut. Ich habe die IP halt in die Ban Liste eingegeben und schaue dann mal, obs was bringt.
Scheint mir nämlich immer die selbe IP zu sein.

 

[the other]

Moinsen,

PWL sagt mir jetzt gerade nichts.

PWL = PortWeiterLeitung (also du für den HTTPS deines Home Assistant).

Und wie sieht es mit HA aus ? Kann das den überhaupt mit der HA App auf dem Handy reden, wenn das Handy mal kein VPN an hat ?

Nein, nicht wenn der Zugriff nur via VPN ins eigene LAN (wo der Assistant sitzt) ermöglicht wird. BZW theoretisch ja, denn outbound (von deinem LAN / Home Assistant Richtung Internet) geht ja...nur eben hier nicht, denn du musst ja von extern rein ins LAN. Wenn es "nur" um Nachrichten ginge, dann ginge das (weißt du besser als ich, da ich = kaum Ahnung) auch per notify per Email. Kommt da dann was, das Kümmern erfordert...VPN an > einwählen, KÜMMERN!
Ich sagte ja bereits:

es ist unsexy, weil total aufwändig und unbequem

Mal im Ernst:
wenn Dienste aus dem Internet erreichbar sein sollen, dann eben oft via VPN, weil imho die sicherste Lösung. Nun ist das idT nicht immer so praktikabel, etwa für dein setting. Andere wollen zB ihre Bildersammlungen auf dem NAS Verwandten sichtbar machen, da willste dann auch nicht ALLEN Verwandten den VPN Zugang ermöglichen (und einrichten). Da muss dann eine Alternative her, etwa eine PWL, Einrichten eines ReverseProxies...und damit sollte es eben nicht aufhören.
Das PLUS an Bequemlichkeit (ohne VPN) erfordert dann eben ein PLUS an Aufwand, den erreichbaren Dienst abzusichern. Klar, geht auch ohne...also...für ne Zeit...bis dann eben die ersten (automatisierten) Anklopfversuche beginnen. Diese sind nicht immer alle per se "böse". Machen aber idR immer ein doofes Gefühl.
Und ja, die üblichen verdächtigen Länder blocken bringt nur eingeschränkt was, ist aber imho immer noch besser als nix.

Ich habe hier etwa nur genau eine PWL: auf den VPN Server. Dazu werden nur Zugriffe aus einigen wenigen Ländern erlaubt (aktuell nur D, weil ich nicht im Urlaub bin). Ergebnis: kaum noch Anklopfversuche...

Ist halt immer so ne Sache: Bequem und schnell konfiguriert? Sicher und aufwändiger? Irgendwo dazwischen? Muss am Ende jede*r selbst für sich rausfinden...

 

[blurrrr]

Country-Blocking minimiert die eingehenden "Problemkinder" aber schon massiv (muss man einfach mal so sagen), wodurch auch die Last auf dem Zielsystem minimiert wird. Es sind bei "weitem" auch nicht alle, die über deutsche Proxies einlaufen, also konkret eigentlich nur die wenigsten.

Es ist Schade, das HA da nicht mehr anzeigt. Hat derjenige nur einmal versucht, das Passwort zu erraten oder mehrfach ?

Da könntest Du einfach mal in die Logs schauen (Webserver/Reverse-Proxy - je nachdem, wo der Sack schon zu gemacht wird), da sollte sich eigentlich etwas finden lassen. fail2ban orientiert sich auch nur an Logs und filtert dort mittels Regex nach bestimmten Einträgen. Nextcloud hat in der Doku ein passendes Beispiel dafür. Dort wird das Log nach entsprechenden Einträgen gefiltert, auf welche dann reagiert wird.

 

[RudiP]

So, diese Nacht keine "Login attempt failed" Meldung.
Der IP BAN scheint zu funktionieren.

 

[RudiP]

Auch heute keine Meldung mehr von dieser einen IP. War zwar ein Loginversuch von einer anderen IP, aber auch nur der eine und der war dann auch gleich in der IPBan.yaml.

 

[blurrrr]

Naja, ich gehe - je nach Häufigkeit - auch gerne hin und schmeiss direkt komplette Netze auf die Liste. Wenn da irgendwelche Hosting-Anbieter oder dergleichen sind (also keine regulären Internetanschlüsse) und da ständig von denen so ein Müll kommt, dann geht das da ganz schnell bei mir

 

[RudiP]

Vom Prinzip her vollkommen richtig. Nur, mir fehlen dazu die Möglichkeiten.
Nur scheint mir die ipban.yaml keine Option zu liefern, Adressbereiche zu sperren, sondern immer nur einzelne IP's.
In meiner Fritzbox wüßte ich auf Anhieb auch keine solche Option und nein, ein Proxy nutze ich nicht.

 

[blurrrr]

Hm, ok, dann ist blöd Auf der anderen Seite heisst es allerdings z.B. hier https://www.home-assistant.io/integrations/fail2ban/:

action = iptables-allports[name=HASS]

Insofern... iptables -A INPUT -s x.x.x.x/24 -j DROP, oder welche Netzgrösse es auch immer sein darf ("/32" wäre ein einzelner Host). Aber ich vermute, dass das so auch erstmal ordentlich Gefummel für Dich wäre, von daher belässt es man es vllt einfach dabei (läuft ja). Ansonsten könnte man natürlich auch noch die "bösen IPs"-Listen zusammenfassen und ein Bash-Script mit Loop drüber laufen lassen, welches für jeder der bösen IPs direkt eine Regel erstellt (das will man auch nicht händisch machen) und ggf. auch direkt täglich erneuert, aber... ich will Dir auch nicht unnötig Arbeit aufhalsen Zudem wäre irgendwas Firewall-mässiges davor vermutlich sowieso sinnvoller und genau da schweifen wir schon wieder ab, davon weiss ich auch nicht, wie sich HA bei Neustarts/Upgrades diesbezüglich verhält, also bin ich jetzt einfach mal wieder ruhig

 

[RudiP]

Leider hat mein kleiner Freund aus Andorra doch nicht aufgegeben. Er kommt nun mit wechselnder IP, aber offensichtlich immer aus Andorra.
Ich frage mich nur, wie findet er mich immer wieder, weil ich ja auch keine feste IP habe.
Klar, er kann nen Port Scanner nutzen, aber dann müßten doch viel mehr HA Nutzer sich beschweren.

Ja, ich habe im Router eine Portweiterleitung 443 auf 8123 gehabt, wegen Alexa. Aber die war inaktiv.
IPv6 war allerdings noch eine Freigabe, aber dürfte ich dann, wenn er darüber rein kommt, überhaupt seine IPv4 sehen ?
Jedenfalls habe ich jetzt erst mal die Freigaben deaktiviert. Irgendwie muß ich raus finden, wie der bei mir rein kommt.

Und dann sollte ich mir wohl doch mal Gedanken machen, wie ich ankommende IP's Filtern kann.
Ich habe ja einen Proxmox Server laufen, auf dem auch schon pi.Hole läuft, damit mein Fernseher und Netflix generell nicht wie wild ins Internet funkt. Hier weiß ich aber, läuft NICHT der gesamte Netzwerkverkehr über diesen Zweig, sondern nur die DNS abfragen.
Wie ich das bei einem remote Proxy, das ich ja wohl brauche, um ankommende Verbindungswünsche zu filtern. Läuft da der Traffik auch nicht über den Zweig, sondern nur die Anfragen ?

 

[saffi]

Sehr interessant, dass man auch bei HA nicht ganz ohne Nervlinge auskommen kann.

Hast Du vielleicht ein Addon oder so in Deiner Konfiguration von Drittanbietern, die vielleicht nicht jeder verwendet? Es muss ja nicht der Entwickler selbst sein, aber ein findiger Nerd, der den Code dazu verwendet.

Viel Glück bei Deiner Recherche.

Im Übrigen hätte ich gaaaaaanz viele Fragen bzgl. PiHole an Dich. Hatte es mal installiert, aber wahrscheinlich so weit aufgebläht, dass mir meine Kinder die Tür eingerannt sind,^^ Vielleicht kannst Du mir einen Tipp geben, wie man sowas gescheit einrichtet. Oder gibt es dazu auch ein tolles Forum wie diesem? Danke Dir.

 

[blurrrr]

Läuft da der Traffik auch nicht über den Zweig, sondern nur die Anfragen ?

Dazu muss man erstmal verstehen, wie ein Reverse-Proxy funktioniert, das ist ein "bisschen" anders, als eine direkte Portweiterleitung/-freigabe.

Regulär ist es ja wie folgt: Auf dem Router wird eine Portfreigabe (Firewall), oder eine Portweiterleitung (Ziel-NAT, Ziel-IP wird umgeschrieben) eingerichtet. Das ganze zeigt dann auf die interne IPv4 (Portweiterleitung), oder öffentliche IPv6 (Portfreigabe) des HomeAssistant-Host. Wenn nun ein Client eine Verbindung herstellt, spricht er quasi "direkt" mit dem HomeAssistant-Host.

Beim Einsatz eines Reverse-Proxy ist das nicht mehr so (!). Der Client spricht "nur" mit dem Reverse-Proxy und der Reverse-Proxy spricht mit dem HomeAssistant-Host. Das sollte nun auch Deine Frage bzgl. des Traffic beantworten, denn "von extern eingehend" wird immer nur der Reverse-Proxy mit dem HA-Host sprechen, somit ist das dann auch eine "interne" Kommunikation zwischen RP und HA. Baut HA eigenständig eine Verbindung nach aussen auf (Updates, etc.), geht der Traffic ganz normal über das Standard-Gateway (Router).

Ohne RP:
|ext. Client|<-----|Router|---->|HA-Host|

Mit RP:
|ext. Client|<-----|Router|---->|Reverse-Proxy|<---->|HA-Host|

Die eingehenden Anfragen kommen bei HA also vom RP an (aus IP-Sicht). Lediglich ein kleiner Teil im HTTP-Header (Kopfteil eines HTTP-Paketes) teilt der HA-Instanz mit, von welcher IP die Anfrage "eigentlich" kommt. Das ist der sogenannte "x-forwarded-for"-Teil, welche dann die eigentliche Client-IP enthält. So muss man Servern hinter RP-Instanzen auch mitteilen, dass sie diesen Header-Teil auch auswerten sollen. Ansonsten kommen die Anfragen halt immer von der RP-IP und die wird dann irgendwann von HA gesperrt, wenn zuviele fehlerhafte Logins stattfinden. Wie das einzurichten ist, kannst Du dann hier nachschauen: https://www.home-assistant.io/integrations/http/#reverse-proxies.

Das wäre dann zumindestens erstmal so das grobe bzgl. Reverse-Proxy...

Frage ist halt immer, was man mit welchen Mitteln erreichen möchte, Firewall mit Country-Blocking (oder zumindestens der Angabe von Netzen) würde ja auch passen

 

[the other]

Moinsen @saffi,
da gibt es zwar auch ein extra Forum...aber warum in die Ferne schweifen?
Allgemein (nur Einrichtung auf dem Raspi und grobe Erstkonfiguration):
https://www.heimnetz.de/anleitungen...raspberry-pi/raspberry-pi-pi-hole-einrichten/
https://www.heimnetz.de/anleitungen...lver-mit-pi-hole-installieren-und-einrichten/

Vermutlich hattest du damals die Kids extremst genervt, weil zig Blocklisten am Start...?
Mach am Besten ein eigenes Thema dazu auf und schieß dort los mit den (konkreten) Fragen...mal sehen, ob wir die auch hier gelöst bekommen.

 

[the other]

Moinsen @RudiP,
Der klopft vermutlich automatisch Adressblöcke ab. Unabhängig von Home Assistant o.a. werden dann stumpf (bruteforce) oder etwas gezielter mit User/password Kombination (auf gehandelten Listen) alle offenen Ports versucht. Wenn der IP Block deines ISP dann bei dem Menschen ind ggf Andorra enthalten ist, dann bringt auch die dynamisch vergebene IP nix.

2fa anschalten als weitere Absicherung, reverse proxy dazwischen wie von @blurrrr vorgeschlagen oder ganz zu und vpn. Und auch der Port muss dann ja offen sein, und auch da verzeichne ich regelmäßige random Anklopfversuche...also normales Grundrauschen oft, umso wichtiger ist ein modernes und sicheres Absichern der Dienste...

 

[RudiP]

Der klopft vermutlich automatisch Adressblöcke ab.

Da möchte ich drauf Wetten. Portscanner gibt es ja wie Sand am Meer.

Unabhängig von Home Assistant o.a. werden dann stumpf (bruteforce)

Das denke ich nicht, da wohl immer nur ein Loginversuch stattfindet. Mit bruteforce würde das ein paar Millionen Jahre dauern, bis er da einen Erfolg haben könnte, wenn er nur einmal am Tag einen Versuch startet.

oder etwas gezielter mit User/password Kombination (auf gehandelten Listen) alle offenen Ports versucht.

Könnte ich mir eher Vorstellen, aber auch hier die Frage, warum nur einen Loginversuch pro Tag ?

2fa anschalten als weitere Absicherung,

Boah, ne, ich hasse das. Du willst mit dem Tablet nur mal eben was in HA machen und dann "scheisse, wo ist mein Handy"
Oder auch immer wieder nett "Wir schicken den Code per Email. Sie haben 30 Sekunden, den Code einzugeben". Toll, wenn die Email aber einfach nicht ankommen will.
Grundsätzlich stimme ich Dir zu, das 2FA ein ziemlich guter Weg wäre, sein Konto zu sichern.
Aber ich wäre dann doch eher für Passkey oder Fingerprint, was auf beinahe jedem Tablet oder Handy ja nun mal vorhanden ist.

reverse proxy dazwischen wie von @blurrrr vorgeschlagen

Ganz ehrlich. Ist mir zu viel Aufwand. Und wenn man was neues im Netz macht und es klappt nicht, ist hier noch eine zusätzliche Fehlerquelle.
Wenn Netflix ruckelt, weiß ich, das ich im Router nachsehen kann, ob irgendwas nicht passt bzw. die Verbindung Fernseher <-> Router testen. Wenn da noch eine Komponente dazwischen kommt, neeee, bin ich kein Freund von.

oder ganz zu und vpn.

Wäre ich durchaus eher Bereit zu. Blöd nur, wenn das Handy gerade kein VPN an hat und HA von zu Hause etwas ans Handy senden will. Oder man die Standorterkennung in der HA App nutzt, um zu Hause was zu schalten, wenn man nach Hause kommt.
Auch keine wirklich praktikable Lösung.

Und auch der Port muss dann ja offen sein, und auch da verzeichne ich regelmäßige random Anklopfversuche...also normales Grundrauschen oft, umso wichtiger ist ein modernes und sicheres Absichern der Dienste...

Ja, das ist leider war. Hier hatte ich schon mal daran gedacht, das man einen Random Port nutzen könnte. Also HA App und HA wechseln regelmäßig den Port. Aber Portscanner sind ja so flott, das macht dann auch wenig Sinn.

Ich denke, die beste Methode wäre es, wenn HA da was Integriert.
Wenn man z.B. mit einem neuen Gerät auf HA zugreifen will, muß das erst mal in HA Authorisiert werden. Jeder HA Client hat eine eigene UID, anhand dieser zweifelsfrei erkannt werden kann.
So kann ich definitiv nur mit den Geräten auf HA zugreifen, die ich selbst freigegeben habe.
Und wenn ich nicht zu Hause bin und unbedingt mit einem neuen Gerät auf HA zugreifen will, kann ich immer noch eine VPN Verbindung aufbauen und das neue Gerät in HA Authorisieren.
Ich denke, das wäre für alle ein praktikabler weg, ohne viel Aufwand für den Nutzer und dennoch sehr sicher.

 

[blurrrr]

Boah, ne, ich hasse das.

Mit bruteforce würde das ein paar Millionen Jahre dauern, bis er da einen Erfolg haben könnte, wenn er nur einmal am Tag einen Versuch startet.

Also erstmal... die sind auch nicht unbedingt "blöd". Zweitens hängt es generell davon ab, was das Ziel ist. Unterscheidung zwischen 2 Szenarien:

1) Ist mir völlig egal welches Ziel es ist, hauptsache ich kriege irgendwo einen Fuss in die Tür
2) Es "muss" (zwingend) dieses "eine" fest definierte Ziel sein

Ich finde, dass jener hier ein schöner Vergleich ist:

1) Ich will irgendwo einsteigen und was klauen, bin aber faul, also laufe ich sämtliche Strassen ab und suche nach einem offenen Fenster im Erdgeschoss
2) Ich will zwingend in diese eine bestimmte Immobilie einsteigen. Ich nehme auch meine Leiter mit (andere Etage), verkleide mich als Weihnachtsmann (Schornstein), verkleide mich als Handwerker (Täuschung), etc.

Letzteres findet man i.d.R. eher nur bei wirklich gezielten Angriffen, welchen man aber i.d.R. eher nicht ausgesetzt ist (sowas ist dann eher ein Fall für Industrie-Spionage, politisch Hintergründe, etc.).

Da man aber nun auch weiss, dass solche Aktionen (über div. Netze hinweg) ihre Zeit brauchen und ebenso weiss, dass es Dinge wie fail2ban gibt, ist es doch ganz einfach:

1. Runde: alle IPv4-Adressen, Port 8123, Login: admin/admin, Dauer (1 Stunde bis 2 Tage)
2. Runde: alle IPv4-Adressen, Port 8123, Login: admin/password (1 Stunde bis 2 Tage)
....usw.

Wenn dazu noch mehrere gekaperterte Hosts kommen (die aber vermutlich nicht unbedingt mit Gigabit angebunden sind), sind zwar mehrere gleichzeitige Versuche von verschiedenen Quell-Adressen möglich, allerdings erhöht sich die Zeitspanne auch massiv.

Frage ist jetzt halt primär: Immer die gleichen Quell-Netze? Ich hatte hier vor einigen Tagen auch einen kleinen Störenfried, welcher mit etlichen IP-Adressen angerückt ist, dummerweise waren es immer die gleichen Netze (einmal /24, einmal /22) im Ausland mit denen diese Person angerückt ist. Allerdings kann ich auch zu 100% ausschliessen, dass jemals ein legitimer Zugriff aus diesen Netzen auf meine Infrastruktur stattfinden wird. Also: komplett gesperrt, Ruhe im Karton.

Btw... hast Du schon mal über eine Hardware-Firewall nachgedacht? Muss ja nix dickes/teures sein und ja... wird ein bisschen Strom verbrauchen und ja... ist wieder eine Fehlerquelle mehr... und ja... bietet dafür im Gegenzug aber auch einiges am Möglichkeiten. Wo Du Dich so gegen VPN ausgesprochen hast, es gibt auch VOD (VPN On Demand), oder halt stumpf "always on" (z.B. solange Du Dich nicht in Deinem eigenen WLAN befindest. Kann verstehen, wenn einem sowas zuviel Geraffel ist, aber der (erhebliche) Mehrwert ist leider auch nicht von der Hand zu weisen

EDIT: Kleiner Nachtrag noch:

Ja, das ist leider war. Hier hatte ich schon mal daran gedacht, das man einen Random Port nutzen könnte. Also HA App und HA wechseln regelmäßig den Port. Aber Portscanner sind ja so flott, das macht dann auch wenig Sinn.

Keine Ahnung, ob sich das unter HAOS so implementieren lassen würde, aber es gibt ja auch noch knockd, könnte nur am Handy etwas blöd sein

 

[the other]

Moinsen,
wie @blurrrr schon meinte: es gibt unterschiedliche Arten solche Sachen (Anklopfversuche) auszuführen...

- 2FA: Du könntest 2fa auch nur für den Admin account einstellen, oder? Die user accounts (die eh nix umstellen dürfen) dagegen weiter mit starkem PW sichern. Ginge doch auch?

- VPN: den Einwand "aber dann kann mir Home Assistant ja nicht 24/7 was zusenden" sehe ich nicht, denn H0me Assistant könnte doch auch per E-Mail notification was raussenden, du bekommst diese Mail dann auch ohne aktives VPN...ginge doch auch? Wenn du die Standorterkennung benötigst, tja, dann ist natürlich doof.

- Aufwand:

Ganz ehrlich. Ist mir zu viel Aufwand.

Kann ich voll versetehen. Allerdings ist es eben immer auch ein Abwägen zwischen Aufwand (Bequemlichkeit) und Sicherheitsanspruch. So ist es eben ein bischen wie "wasch mich, aber mach mich nicht nass"
Also: entweder mit der Anklopferei bei offenen Ports und Portweiterleitungen leben, oder eben nicht und dann Schotten dicht. Das ist individuell unterschiedlich, das ist am Ende einzig DEINE Entscheidung...
Ports zu "verschleiern" (ui, ssh auf Port 2222, wow) bringt -wie du selber sagst- in heutigen Zeiten eigentlich nix...vielleicht fürs eigenen Bauchgefühl, aber nicht als echte Sicherheitsmaßnahme, finde ich jedenfalls.
Mal sehen, was da zukünftig noch implementiert wird, um die Anmeldesicherheit weiter zu steigern, seitens den HerstellerInnen von Home Assistant / der community...das Problem wird sich ja leider nicht von alleine auflösen.

 

[blurrrr]

Wenn du die Standorterkennung benötigst, tja, dann ist natürlich doof.

Doof ist das nicht, da die Standort-Erkennung ja zwingend auf eine Verbindung zu HA angewiesen ist, insofern sollte das schon via VOD funktionieren.

Da im Hintergrund sowieso iptables werkelt, wäre es eigentlich ein einfaches, wenn man einfach bestimmte IPs/Netze "dauerhaft" hinzufügen könnte. Man könnte halt schauen, ob man via SSH entsprechende Regeln setzen kann und diese ggf. auch einen Neustart überleben. Falls dem nicht so sein sollte, könnte man sich da ggf. auch mit einem Bash-Script, einer Textdatei (zur Eintragung der entsprechenden zu blockierenden Adressen) und einem Job (welcher beim HA-Start oder in regelmässigen Intervallen) behelfen. Ist dann auch nicht "schön", könnte aber funktionieren.

Aber mal davon ab... Es gibt doch "zig" HA-Addons... ist da nicht "ein einziges" bei, was so eine (einfache) Funktionalität an Board hat? Ist schon klar, die meisten gehen einfach nur auf "noch mehr Spielkram" und wollen allen möglichen Mist irgendwie mit reinbringen (u.a. auch Steuerung einer Enterprise-Firewall über die API mittels HomeAssistant, wie ich grade gesehen habe... ), aber da wird doch wohl auch irgendwas in Sachen Sicherheit dabei sein?

Aber mal so ganz unabhängig davon... Dein HA läuft doch via PVE... Könntest halt auch hingehen und unter "Hardware" in den NIC-Einstellungen der VM den Haken bei der Firewall setzen. Danach kannst Du dann bei der VM unter Firewall entsprechend gewünschte Regeln anlegen.