Melhor "Setup" para ter um HA Seguro


(Nuno Freire) #1

Boas,

Abri este tópico com o intuído de conhecer e também se poder debater quais as melhores configurações para ter um HA minimamente seguro.

Eu utilizo o Haskka desde o inicio por causa da alexa e dai ainda ter a API_Password activa.
Acedo sempre via https://xxx.duckdns.org mesmo estando em casa dentro da rede

Deixo abaixo a minha configuração, gostaria de saber o que posso melhorar.

homeassistant:
   auth_providers:
   - type: homeassistant
   - type: trusted_networks
     trusted_networks:
      - 192.168.1.0/24      
   - type: legacy_api_password
     api_password: !secret http_password

http:
  ssl_certificate: /etc/letsencrypt/live/xxx.duckdns.org/fullchain.pem
  ssl_key: /etc/letsencrypt/live/xxx.duckdns.org/privkey.pem
  login_attempts_threshold: 5

(Jorge Assunção) #2

@nfreire este tópico vai dar muito que falar até porque alguns elementos da Equipa de Gestão do fórum já andavam a falar sobre o assunto e a planear uma publicação sobre o tema.

Vou deixar quem sabe mais do que eu responder-te mas posso desde já dizer-te que aceder com o endereço do DuckDNS dentro da tua própria rede é algo que NUNCA deverias fazer.

Se acederes com o endereço IP dentro da tua rede do telemóvel ao HA, a ligação vai ser feita do telemóvel ao router e daí ao HA.

No entanto se acederes com o endereço do DuckDNS do telemóvel ao HA, a ligação vai ser feita do telemóvel ao router, do router ao servidor do DuckDNS, do servidor do DuckDNS para o router novamente e daí ao HA. E esta situação provoca dois problemas: o primeiro é que para acederes ao HA a rota é maior e provoca uma maior lentidão do acesso; o segundo é o facto de saíres da “segurança” da tua rede interna para fora e voltares a entrar independentemente de usares HTTPS.


(Nuno Freire) #3

humm então e como posso fazer para aceder internamente? se meter o ip do servidor onde tenho o HA não consigo aceder…

De qualquer forma, costumo aceder ao HA fora de casa


(Jorge Assunção) #4

Acedes com https://<ip_do_ha> ou https://<ip_do_ha>:8123. Vai aparecer um aviso de segurança mas podes ignorar.


(Hugo Encarnacao) #5

sinceramente usei durante muito tempo o duckdns para aceder por fora
agora entro so por fora atraves de VPN nao tendo assim nenhumas portas abertas no router


(Nuno Freire) #6

Estava a usar a primeira opção, agora com :8123 deu, Obrigado!


(Nuno Freire) #7

Eu também já pensei nisso, mas como tenho Alexa, tenho de ter a API activa e acesso via duckdns.


(Hugo Encarnacao) #8

eu tambem tenho a alexa mas uso localmente no node red


(Nuno Freire) #9

OK, vou ter de me “debruçar” e perceber como funciona… Obrigado pela dica


(Tiago Marques) #10

Acho que a API.password vai desaparecer, por isso tens mesmo de arranjar outra forma para usar isso.

Quanto ao resto, preciso de um PC senão estrago o teclado do telemovel :sunglasses:


(Nuno Freire) #11

Ok, Obrigado… vou começar a “estudar” o Node-Red, até lá, agradeço ajuda e dicas para melhorar a segurança do meu HA


(Hugo Encarnacao) #12

podes tambem adicionar mais uma layer de segurança com Multi-factor Authentication Modules do homeassistat


(Ricardo Reis) #13

Eu acedo sempre pelo endereço externo, mesmo estando na rede interna. Para evitar lentidões, criei uma entrada DNS no meu router e configurei todos os dispositivos da rede a terem como dns primário o meu router. Desta forma, quem está dentro da rede e acede ao endereço duckdns vai diretamente ao IP do HA sem ter que ir para o exterior


(Ricardo Silva) #14

Vou resumir:
Queres segurança: 1 porta aberta para fora que é a porta do servidor vpn.
Ligas a vpn no telemóvel e acedes ao HA.

Melhor que isso não há. É como tenho, é como o @Encarnacao tem agora e possivelmente @Luis_Andrade.


(Rodolfo) #15

@ricain tambem uso dessa forma.


(Luís Miguel Andrade) #16

Para mim existem sempre 3 níveis de segurança que devemos garantir:
1- Fora para dentro. Por VPN segura, firewall, DPI, IPS, IDS,…
2 - Dentro para dentro. Isolar redes e comunicações com VLANs e firewall interna.
2- Dentro para fora. Impedindo comunicações de devices (sonoffs e afins ) falarem com a web. Para tal, a utilização de vlans e firewall externa.

O mais habitual quando falamos de segurança é pensar em fechar tudo de fora para dentro. Contudo, não podemos esquecer de que temos equipamentos a “falar” internamente com toda a rede e com acesso ao exterior. Assim, promovemos uma das maiores vulnerabilidades: equipamentos que potencialmente podem ser comandados do exterior, com total liberdade e acesso interno.


(Bruno Melo) #17

Era bom alguém mais entendido na matéria criar um toturial para tornar o nosso HA mais seguro. Eu também estou a usar uma vpn mas contudo também tenho 1 porta aberta para o HA.


(Tiago Marques) #18

Ter uma porta aberta não é o fim do mundo, desde que tenhas uma rede mosquiteira.

A internet é feita de portas abertas :sunglasses:

O nível de segurança com que normalmente sonham ( digo isto dos vários posts sobre o assunto) implica gastar muito dinheiro em bom hardware e software e requer conhecimentos específicos para a configuração e manutenção dos mesmos e não é de todo uma solução para ter em :house:

Dito isto, não se ponham a abrir portas a torto e a direito, usem passwords complexas e sempre que possível usem VPN ( e fecham as portas que não precisam).

É mais provável terem a rede lixada por malware que apanham no PC via emails, software pirata, etc. do que pelo HA. Mesmo!


(Nuno Godinho) #19

Exacto. Entrar por VPN (e com certificados cliente instalados nos dispositivos cliente`) é a forma mais segura. Tudo o resto é brincar com o fogo. Mesmo esses serviços “cloud” disponibilizados pela Synology e afins que permitem aceder remotamente ao NAS sem abrir portas têm algum risco.

Mas lá está, depende do nível de paranóia de cada um. Dizem que o meu é relativamente elevado. Mas tendo em conta as notícias que se vai lendo e olhando para os logs da minha Firewall… parece-me realista :slight_smile:

E atenção que o risco não é entrarem no HA mas sim entrarem na rede. Por isso meter 2FA no HA não resolve. Basta haver uma vulnerabilidade qualquer no servidor web e no dia seguinte tens a torradeira infectada e um mês depois ela acorda e encripta-te o NAS e pede-te 1BTC para o desencriptar.


(Nuno Godinho) #20

É mais provável terem a rede lixada por malware que apanham no PC via emails, software pirata, etc. do que pelo HA. Mesmo!

Pois, isso também é verdade @tmarquespt.