Remote Zugriff von Home Assistant absichern

Home Assistant ist eine leistungsstarke Plattform zur Steuerung deines Smart Homes. Doch wenn du den Remote Zugriff ermรถglichst, solltest du unbedingt SicherheitsmaรŸnahmen ergreifen. Hacker und unbefugte Zugriffe kรถnnen erhebliche Probleme verursachen. In diesem Beitrag erfรคhrst du, wie du den Remote Zugriff von Home Assistant absichern kannst.

Fรผr alle Lesefaulen gibt es das Ganze natรผrlich auch als YouTube-Video von mir ๐Ÿ˜‰

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltflรคche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Remote-Zugriff von Home Assistant absichern

Benutzerrechte einschrรคnken

Nicht jeder Benutzer in deinem Home Assistant-System benรถtigt volle Administratorrechte. Du solltest Rollen und Berechtigungen gezielt vergeben.

  • Lege separate Benutzerkonten an.
  • Vergib eingeschrรคnkte Rechte fรผr nicht-administrative Nutzer.
  • Aktiviere Gรคstekonten nur bei Bedarf und entferne sie wieder, wenn sie nicht mehr gebraucht werden.

Je weniger Personen Zugriff auf kritische Einstellungen haben, desto sicherer ist dein System.

Du magst Home Assistant? Dann abonniere kostenlos meine Beitrรคge mit Tipps, Tricks und Anleitungen rund um Home Assistant:

Follow Home Assistant
( 573 Followers )
X

Follow Home Assistant

E-mail : *
* Ich stimme der Datenschutzerklรคrung zu!

Garantiert kein Spam, keine Werbung und immer mit Abmelde-Link, solltest du es dir anders รผberlegen!

Was es mit Benutzern und Personen in Home Assistant auf sich hat, habe ich in dem folgenden Beitrag ausfรผhrlich erklรคrt:

Starke Passwรถrter nutzen

Ein starkes Passwort ist der erste Schutz gegen unbefugte Zugriffe. Verwende:

  • Mindestens 12 Zeichen (bzw. je lรคnger, desto besser ;))
  • Eine Kombination aus GroรŸ- und Kleinbuchstaben, Zahlen und Sonderzeichen
  • Keine leicht erratbaren Begriffe wie „HomeAssistant123“
  • Unterschiedliche Passwรถrter fรผr verschiedene Dienste

Ein Passwort-Manager hilft dir, sichere Passwรถrter zu generieren und zu verwalten.

Multi-Faktor-Authentifizierung (MFA) aktivieren

Zusรคtzlich zu einem starken Passwort solltest du die Multi-Faktor-Authentifizierung (MFA) aktivieren. Dies erhรถht die Sicherheit erheblich, indem ein zusรคtzlicher Code aus einer Authentifizierungs-App (wie Google Authenticator oder Authy) erforderlich wird.

So aktivierst du MFA in Home Assistant:

  1. Gehe in die Einstellungen unter „Benutzer“.
  2. Wรคhle deinen Benutzer aus.
  3. Aktiviere MFA und scanne den QR-Code mit einer Authenticator-App.
  4. Bestรคtige die Einrichtung mit dem generierten Code.

Ich persรถnlich nutze Aegis MFA auf Android als MFA-App.

HTTP-Ban nutzen

Home Assistant bietet eine Funktion namens HTTP-Ban, die automatisch IP-Adressen sperrt, nach zu vielen fehlgeschlagenen Login-Versuchen. So richtest du es ein:

Fรผge folgende Zeilen in deine configuration.yaml ein:

http:
  ip_ban_enabled: true
  login_attempts_threshold: 5

Speichere die Datei und starte Home Assistant neu.

Jetzt wird eine IP-Adresse nach fรผnf fehlgeschlagenen Login-Versuchen automatisch gesperrt.

Automatische Benachrichtigungen bei fehlerhaften Loginversuchen

Um frรผhzeitig auf unbefugte Zugriffe aufmerksam zu werden, solltest du dir Benachrichtigungen bei fehlgeschlagenen Loginversuchen schicken lassen.

Fรผge dies in deine automations.yaml ein bzw. erstelle eine Automation mit folgendem Inhalt:

alias: Failed Login Benachrichtigung
description: ""
triggers:
  - update_type: added
    trigger: persistent_notification
conditions:
  - condition: template
    value_template: >
      {% set message = trigger.notification.message %} {{'Too many login
      attempts' in message or
        'invalid authentication' in message or 'login attempt' in message}}
actions:
  - data:
      title: |
        {% set title = trigger.notification.title %} โš ๏ธ{{title}}โš ๏ธ
      message: >
        {% set message = trigger.notification.message %} {% set now =
        now().strftime('%d %b: %X') %} {% if 'Too many login attempts' in
        message %}
         Login notification: {{now}}: {{message}}
        {% elif 'invalid authentication' in message or 'login attempt' in
        message %}
          Login notification: {{now}}: {{message}}
          Track offending ip on http://www.ip-tracker.org/locator/ip-lookup.php?ip={{message.split('from ')[1]}}
        {% else %}
          Login notification other: {{now}}: {{message}}
        {% endif %}
    action: notify.mobile_app_pixel_8_pro

Dadurch bekommst du eine Nachricht auf dein Smartphone, wenn jemand einen fehlerhaften Loginversuch macht.

URL geheim halten

Vermeide es, die URL deines Home Assistant-Servers in รถffentlichen Foren oder sozialen Medien zu teilen. Nutze stattdessen eine nicht leicht erratbare Subdomain oder dynamische DNS-Dienste mit individuellen Namen.

Es ist generell nicht mรถglich eine Subdomain geheim zuhalten, da das Internet „sonst nicht funktionieren wรผrde“. Subdomains mรผssen aus technischer Sicht „kommuniziert“ werden, damit man diese Aufrufen kann. Im Umkehrschluss ist es nicht mรถglich diese geheim zuhalten.

Updates zeitnah installieren

RegelmรครŸige Updates sind essenziell, um Sicherheitslรผcken zu schlieรŸen. Achte darauf, dass:

  • Home Assistant auf dem neuesten Stand ist.
  • Alle installierten Add-ons und Integrationen aktuell sind.
  • Dein Betriebssystem (Raspberry Pi OS, Docker, etc.) regelmรครŸig aktualisiert wird (sofern kein Betrieb nativ auf dem Raspberry Pi).

Updates enthalten oft wichtige Sicherheitsfixes, die dich vor neuen Bedrohungen schรผtzen.

Fazit zur Absicherung des Remote Zugriff von Home Assistant

Die Absicherung des Remote-Zugriffs auf Home Assistant ist kein Hexenwerk, aber essentiell, um dein Smart Home zu schรผtzen. Indem du Benutzerrechte beschrรคnkst, starke Passwรถrter wรคhlst, MFA aktivierst, HTTP-Ban nutzt, Benachrichtigungen einrichtest, die URL geheim hรคltst und Updates installierst, kannst du dein System erheblich sicherer machen.

Setze diese Tipps um, und dein Home Assistant bleibt gegen unbefugte Zugriffe bestmรถglich geschรผtzt!

3 Gedanken zu „Remote Zugriff von Home Assistant absichern“

  1. Kann es sein, dass bei der ‚automatischen Benachrichtigung‘ – neben anzupassendem notify-Ziel in der letzten Zeile – noch andere Parameter anzupassen / zu ergรคnzen sind?Nach Ersatz des YAML-Codes in einer neu angelegten Automatisierung und entsprechender Anpassung vom notify-Ziel kommt beim Ausfรผhren als Fehlermeldung
    Fehler beim Ausfรผhren einer Aktion
    Error rendering data template: UndefinedError: ‚trigger‘ is undefined
    ย 
    Im UI der Automatisierung ist der Trigger ohne Benachrichtigungs-ID.
    Ich hรคtte wenigstens eine – wenn auch falsche – Signalsierung in der App erwartet.
    Irgendwelche Vorschlรคge oder Hinweise?
    ย 
    P.S.: zum http-Bann: ist der letzte Satz ‚jetzt wird eine IP-Adresse nach fรผnf fehlgeschlagenen Login-Versuchen automatisch gesperrt‘ als permanente Sperre zu verstehen oder erfolgt nach einer Zeit x eine Entsperrung – wenn permanent: wie kรถnnte die Sperre wieder zurรผckgesetzt werden?
    ย 

    • @wobeco Nein, die Fehlermeldungย 

      Error rendering data template: UndefinedError: 'trigger' is undefined

      sagt tatsรคchlich, was genau das Problem ist: da du die Automation manuell auslรถst, gibt es keinen regulรคren Trigger, so dass der Template-Code nicht funktionieren kann.ย 

      Rufe dein HA in einem Inkognito-Fenster vom Browser auf und nutze falsche Zugangsdaten, dann bekommst du die gewรผnschte Fehlermeldung per Push.

      Der HTTP-Ban ist dauerhaft, auรŸer du lรถschst die gebannte IP aus der Datei ip_bans.yaml

      ย 

Die Kommentare sind geschlossen.