🛡️ Hardening e Sicurezza

::: danger ATTENZIONE L’apertura di una porta sul router (443) espone il tuo server a scansioni globali da parte di botnet. Senza le contromisure descritte in questa pagina, il rischio di tentativi di accesso non autorizzati è estremamente elevato. :::

1. Autenticazione Multi-Fattore (2FA)

Il primo e più importante strato di difesa. Anche se una password venisse compromessa, l’attaccante non potrebbe entrare senza il secondo fattore.

• Configurazione: Vai su Profilo Utente -> Multi-factor Authentication Modules.
• Metodo Consigliato: TOTP (Authenticator App come Google Authenticator, Bitwarden o Authy).
• Best Practice: Abilita la 2FA per tutti gli account amministrativi. Salva i codici di backup in un luogo sicuro (non sul server stesso).

2. Protezione Brute Force: IP Ban

Home Assistant può rilevare tentativi di login falliti e bloccare l’indirizzo IP dell’attaccante a livello di firewall interno.

Configurazione (configuration.yaml)

homeassistant:
  auth_providers:
    - type: homeassistant
# Abilita il blocco automatico degli IP
http:
  ip_ban_enabled: true
  login_attempts_threshold: 5 # Blocca dopo 5 tentativi falliti

Gestione dei Blocchi

Gli IP bloccati vengono scritti nel file ip_bans.yaml nella root di configurazione. Se ti blocchi accidentalmente (es. dimenticando la password sul cellulare), dovrai rimuovere il tuo IP da questo file tramite il terminale di Proxmox o File Editor.

3. Sicurezza a livello di Proxy (Nginx)

Oltre alla crittografia SSL già configurata, Nginx può fungere da filtro aggiuntivo.

• HSTS (HTTP Strict Transport Security): Forza il browser a comunicare solo via HTTPS.
• Block Common Exploits: In Nginx Proxy Manager, attiva l’opzione “Block Common Exploits” per filtrare query SQL injection o tentativi di exploit noti.
• Access Lists: Se sai che accederai a Home Assistant solo da determinati paesi, valuta l’integrazione di CrowdSec o regole di Geoblocking (se il router/firewall lo permette).

📉 Livelli di Difesa (Mermaid)

graph TD
    REQ[Richiesta Esterna] --> FW[Firewall Router: Porta 443]
    FW --> NPM[Nginx: SSL & Filter]
    NPM --> HA[Home Assistant: IP Ban Check]
    HA --> AUTH{Autenticazione}
    AUTH -- Password OK --> MFA{Verifica 2FA}
    MFA -- Codice OK --> ACCESS[Accesso Garantito]
    
    AUTH -- Fallimento --> BAN[Scrittura in ip_bans.yaml]

4. Audit delle Integrazioni

Non tutte le integrazioni sono sicure allo stesso modo.

1. Local Control: Privilegia sempre integrazioni che funzionano in locale (Zigbee, ESPHome, MQTT) rispetto a quelle Cloud-based.
2. Add-ons: Installa solo Add-on necessari. Ogni add-on è un potenziale vettore di attacco se non aggiornato.
3. Update Policy: Mantieni Home Assistant e il sistema operativo (HAOS) sempre aggiornati. Le patch di sicurezza vengono rilasciate frequentemente.

💡 Note dell’Ingegnere (Critical Thinking)

• Privacy vs Comodità: Evita di usare l’opzione “Resta collegato” su dispositivi pubblici o non personali.
• Internal Network: Ricorda che la sicurezza deve essere applicata anche internamente. Se hai dispositivi IoT economici e poco sicuri (es. vecchie telecamere IP), segregali in una VLAN separata se il tuo router lo permette, impedendo loro di comunicare con la VM di Home Assistant se non strettamente necessario.

Ultimo aggiornamento: {{UPDATE_DATE}} | Tags: #Security #Hardening #2FA #IPBan #CyberSecurity