Sécurité Home Assistant exposé sur internet

Bonjour,

Mon HA est exposé sur internet en https.

Je vois dans mes logs des messages de type : Filtered a potential harmful request to: /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh

HA embarque t-il tout ce qu’il faut pour éviter des intrusions, du brute force ou faut-il ajouter un module complémentaire comme « AdGuard Home » ?

Bob

Ma configuration

System Health

version core-2021.11.0
installation_type Home Assistant OS
dev false
hassio true
docker true
user root
virtualenv false
python_version 3.9.7
os_name Linux
os_version 5.10.17-v8
arch aarch64
timezone Europe/Paris
Home Assistant Community Store
GitHub API ok
Github API Calls Remaining 5000
Installed Version 1.16.0
Stage running
Available Repositories 888
Installed Repositories 4
Home Assistant Cloud
logged_in false
can_reach_cert_server ok
can_reach_cloud_auth ok
can_reach_cloud ok
Home Assistant Supervisor
host_os Home Assistant OS 6.6
update_channel stable
supervisor_version supervisor-2021.10.8
docker_version 20.10.8
disk_total 457.7 GB
disk_used 10.0 GB
healthy true
supported true
board rpi4-64
supervisor_api ok
version_api ok
installed_addons deCONZ (6.10.0), Let’s Encrypt (4.11.0), File editor (5.3.3), Samba share (9.5.1), Network UPS Tools (0.8.0), Spotify Connect (0.9.1), Terminal & SSH (9.2.1), Portainer (2.0.0), InfluxDB (4.2.1), Grafana (7.2.0), Node-RED (10.0.1), Visual Studio Code (3.6.2)
Lovelace
dashboards 1
resources 4
views 6
mode storage

Salut.

Ha embarque un ban automatique sur les tentatives de login… Pour le reste, à toi de faire je crois bien.
À confirmer quand même, le mot clé filtered m’interpelle

Salut,
mon expérience sur le sujet:
jusqu’à présent mon HA était relié directement derrière ma box internet.
Par sécurité, j’ai ajouté le weekend dernier un firewall (IPfire) en coupure de la box internet.
Box internet <—> Firewall <----> Réseau local
Cela complexifie car cela fait 2 réseaux à gérer, mais cela rassure.
Tu peux faire des règles pour que seul ton téléphone accède à ton HA par exemple (j’ai été moins restrictif, j’ai mis un filtrage sur le pays d’origine de l’adresse IP)
Cela permet également de voir les connexions de ton HA, au fur et à mesure des add-ons, il y en a un paquet, vers le monde entier.
Je filtre au fur et à mesure en étudiant les logs. J’ai supprimé le multicast par exemple émis par la box sfr, en le bloquant par le firewall.
Inconvénient, à priori je perd 100Mbps de bande passante mais cela doit etre lié à mon matériel (un simple pc sous proxmox)

Bonjour, j’aimerais bien savoir comment définir ces règles et dans quelle rubrique? Merci de m’éclairer

AdGuard Home c’est pour le DNS et filtrer la pub, ça n’aidera pas ici.
Personnellement mon HA n’est pas exposé sur le net, je m’y connecte par VPN qui est activé H24 sur mon téléphone et mes autres appareils. Pour cela j’utilise l’add-on WireGuard et l’application du même nom pour Windows, Mac, iOS et android

dans ipfire, tu ajoutes une règle (rules) de firewall
protocol TCP
source l’ip de ton téléphone attribué par ton opérateur (moi j’ai mis origine FR pour le moment)
NAS Destination NAT (Port forwarding) / Firewall interface automatic
destination l’ip interne de ton HA

Merci, je vais explorer cette piste