Esposizione Home Assistant su internet

MaxBarbero

Ciao,
avrei bisogno di un consiglio su come affrontare l'eventuale esposizione di HomeAssistant su internet.
Premetto che al momento, nonostante abbia IPS/IDS attivi sulla rete, non sto esponendo nulla direttamente e che se proprio devo accedere utilizzo una vpn terminata sulla UDM.
Home assistant è conteinerizzato su QNAP con interfaccia di rete (anche se leggevo che bisognava metterla in host mode) in bridge sulla rete che si prende il suo IP statico e funziona senza problemi

Il QNAP su cui è installato ha una sola interfaccia di rete.

L'idea potrebbe essere quella di mettere un reverse proxy sulla rete (traefik, caddy?) per gestire e disaccoppiare il tutto.
Su quale rete però dovrei mettere il reverse proxy conteinerizzato? Su una nuova vlan che dovrei vedere di trasportare al qnap? Non credo che il reverse proxy funzioni bene se lo metto come nat sulla rete 10.0.3.x che crea lui.
Il passo successivo sarebbe fare un port forwarding verso il reverse proxy?

Ho un po' di confusione su questa parte.... grazie a chi mi può dare una mano.

[cancellato]

MaxBarbero Non lo fare. Soprattutto se lo stai eseguendo su un NAS.

edofullo

[cancellato] Perchè? Alla fine sono comunque dei container docker che vedono solo i volumi montati.

Io ho home assistant esposto da parecchio ormai (su raspberry pi / docker) dietro reverse proxy nginx con fail2ban e geoipblock.

Vero che non sai come è implementato docker sull'OS specifico ma ho visto di peggio anche in aziende 😅

Comunque io espongo il reverse proxy su VLAN specifica, ed il reverse proxy contatta il container homeassistant su network virtuale docker.

[cancellato]

[cancellato] Concordo.

Piuttosto crea una Vpn sul nas e collegati alla rete di casa.

[cancellato]

edofullo Perchè? Alla fine sono comunque dei container docker che vedono solo i volumi montati.

Credici. O meglio, sì, è vero, fino alla prima vulnerabilità seria... Dopo sono $falli.

Il NAS fa il NAS, il computing sta da un'altra parte. 😉 Soprattutto roba simil-consumer che come abbiamo visto di recente sono tutto tranne che sicuri e hardened.

edofullo ma ho visto di peggio anche in aziende 😅

Beh francamente se uno si butta giù da un ponte io non gli vado di certo dietro 😉
Che si possa non significa che sia corretto farlo.

stich86

edofullo credo che alla fine farò come te.. giusto lo sbattimento di rimettere su i progetti su Google/AWS per abbandonare il loro cloud che ultimamene fa troppe bizze 😣

edofullo

[cancellato] Piuttosto crea una Vpn sul nas e collegati alla rete di casa.

Per un sistema di domotica non è proprio comodo connettersi ogni volta alla VPN o configurare split tunneling su tutti i dispositivi.

[cancellato] Credici. O meglio, sì, è vero, fino alla prima vulnerabilità seria... Dopo sono $falli.

Ok, ma bisogna mettere su un piatto la sensibilità dei dati con il rischio e la comodità.

Bisognerebbe prima di tutto riuscire a "bucare" home assistant / reverse proxy e successivamente anche docker.
Può capitare? Certo, ma probabilmente non saresti tu utente domestico il target principale di un attacco di questo genere.

E in questo caso anche mettere una VPN non aiuta, se stesse sulla stessa macchina... si applicano le stesse possibilità che si applicano a docker.

MaxBarbero

[cancellato] Si la VPN ce l'ho ed è terminata sul router. Tutta l'esposizione diretta del NAS tramite port forwarding l'ho eliminata da un po'.

L'unica regola di port forwarding che ho lasciato è quella del voip verso l'ATA ma ho specificato il source address del provider, il resto viene droppato.

Per questo cercavo di capire se mettendo un layer intermedio che non esponesse direttamente il NAS, o meglio solo un container che fa da reverse proxy potesse essere una buona soluzione o meno limitatamente al raggiungimento del container di homeassistant.

juststupid vpn e firmware sempre aggiornati. Il problema in primis è accorgersi di essere stati bucati.

Per quanto possano servire ho IDS e IPS attivi ed in più ho creato un honeypot sulla rete. Spero che a livello casaligo possano bastare... non sono la cia 😃

[cancellato]

MaxBarbero Per quanto possano servire ho IDS e IPS attivi

HTTPS = canale cifrato = IPS non vede una mazza.

MaxBarbero ho creato un honeypot sulla rete.

Perché attirarsi i problemi consci di farlo? Se non ci sono motivi di ricerca per malware o altro stai solo urlando al mondo "sono bucato! sono bucato! venitemi a prendere!" e causare una cattiva reputazione al tuo IP e di conseguenza alla network che lo contiene. E poi si chiedono perché i provider vogliono bloccare il traffico inbound ai clienti domestici...

MaxBarbero Per questo cercavo di capire se mettendo un layer intermedio che non esponesse direttamente il NAS,

Sì ma fallo su un'altra macchina, non sulla stessa. Anche se è un container, il sottostante bridge di rete e le risorse sono tutte dello stesso kernel.

edofullo Per un sistema di domotica non è proprio comodo connettersi ogni volta alla VPN

Basta lasciare wireguard configurato. Senza keepalive non dovrebbe pesare nulla in termini di batteria e risorse.

edofullo Bisognerebbe prima di tutto riuscire a "bucare" home assistant / reverse proxy e successivamente anche docker.
Può capitare? Certo, ma probabilmente non saresti tu utente domestico il target principale di un attacco di questo genere.

È molto più facile che vengano configurate male le reti e il reverse proxy andando a creare dei bypass sugli strati, se non si sa quel che si sta facendo. E il fatto che tutto giri nello stesso kernel non aiuta di certo.

juststupid

vpn e firmware sempre aggiornati. Il problema in primis è accorgersi di essere stati bucati.

MaxBarbero

[cancellato] Perché attirarsi i problemi consci di farlo? Se non ci sono motivi di ricerca per malware o altro stai solo urlando al mondo "sono bucato! sono bucato! venitemi a prendere!" e causare una cattiva reputazione al tuo IP e di conseguenza alla network che lo contiene. E poi si chiedono perché i provider vogliono bloccare il traffico inbound ai clienti domestici...

Non ho capito questo pezzo. L'honeypot mi serve per vedere se qualche host in lan prova a contattarlo per motivi non conosciuti.e accorgermi se c'è qualcosa di sospetto. Perché dovrebbe causare quello che scrivi? Non è esposto su internet.

[cancellato]

MaxBarbero Ah OK pensavo lo intendessi esposto. 😉

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile