Estimated reading time: 9 Minuten
Wenn du Home Assistant nutzt, kennst du bestimmt die integrierte IP-Ban-Funktion, die automatisch IP-Adressen sperrt, die sich wiederholt mit falschen Anmeldeinformationen anmelden. Diese Funktion sorgt dafür, dass potenzielle Angreifer ausgesperrt bleiben. Allerdings kann es vorkommen, dass Home Assistant fälschlicherweise auch die IP-Adressen sperrt, die du eigentlich immer brauchst – wie etwa die interne IP deines Routers oder anderer wichtiger Geräte im Netzwerk.
Hier kommt die IP-Ban-Allowlist ins Spiel! Mit dieser Erweiterung definierst du IP-Adressen oder IP-Bereiche (Subnetze), die nie gebannt werden sollen, selbst wenn mehrere falsche Login-Versuche auftreten. Die Allowlist gibt dir so die Kontrolle zurück und hilft dir, unangenehme Überraschungen zu vermeiden.
Für eine detaillierte Anleitung und Erklärung aller Konfigurationsmöglichkeiten empfehle ich das unten verlinkte YouTube-Video. In diesem Video wird ausführlich auf jede einzelne Einstellung eingegangen, sodass du eine umfassende Anleitung zur genauen Einrichtung erhältst. Eventuellen Code aus dem Video findest du in diesem Beitrag, so dass du ihn direkt nutzen kannst ohne abtippen zu müssen.
Was ist die IP-Ban-Whitelist/Allowlist?
Mit der IP-Ban-Allowlist kannst du steuern, welche Geräte oder IP-Adressen unter allen Umständen Zugriff auf dein Home Assistant haben dürfen. Das bedeutet, dass du die Kontrolle darüber behältst, welche Geräte (z.B. dein Smartphone oder Laptop) sich mit deinem System verbinden können, während du unerwünschte Zugriffe weiterhin direkt blockierst. Diese Integration basiert auf einem GitHub-Projekt, das von der Community entwickelt wurde, und du kannst es hier finden.
Diese Funktion ist besonders nützlich, wenn du verhindern möchtest, dass unautorisierte Geräte, wie etwa die IP-Adresse eines Angreifers, Zugang zu deinem System erhalten. Mit einer gut konfigurierten IP-Ban-Whitelist erhöhst du die Sicherheit deiner Smarthome-Installation und sorgst für ein beruhigendes Maß an Privatsphäre.
IP-Ban-Allowlist in Home Assistant: So schützt du wichtige Geräte vor versehentlichen Sperren
Wenn du Home Assistant nutzt, kennst du bestimmt die integrierte IP-Ban-Funktion, die automatisch IP-Adressen sperrt, die sich wiederholt mit falschen Anmeldeinformationen anmelden. Diese Funktion sorgt dafür, dass potenzielle Angreifer ausgesperrt bleiben. Allerdings kann es vorkommen, dass Home Assistant fälschlicherweise auch die IP-Adressen sperrt, die du eigentlich immer brauchst – wie etwa die interne IP deines Routers oder anderer wichtiger Geräte im Netzwerk.
Hier kommt die IP-Ban-Allowlist ins Spiel! Mit dieser Erweiterung definierst du IP-Adressen oder IP-Bereiche (Subnetze), die nie gebannt werden sollen, selbst wenn mehrere falsche Login-Versuche auftreten. Die Allowlist gibt dir so die Kontrolle zurück und hilft dir, unangenehme Überraschungen zu vermeiden.
Warum eine IP-Ban-Allowlist verwenden?
Die IP-Ban-Allowlist schützt zuverlässig wichtige Geräte, die auf Home Assistant zugreifen müssen, auch wenn sie einmal fehlerhafte Anmeldeversuche haben sollten. Das kann vor allem bei Systemen nützlich sein, die automatisch und regelmäßig auf Home Assistant zugreifen – wie deine Automatisierungs-Server oder Backup-Dienste, die sich ab und zu einmal „vertun“ könnten.
Hier sind die größten Vorteile:
- Schutz vor versehentlichen Sperren: Du musst dir keine Sorgen mehr machen, dass deine eigenen Geräte aus Versehen ausgesperrt werden.
- Mehr Kontrolle über das Sperrverhalten: Du definierst gezielt die IPs, die Home Assistant nicht blockieren soll, unabhängig von Fehlversuchen.
- Störungsfreier Betrieb: Geräte, die du für dein Smarthome benötigst, bleiben immer erreichbar, was dir wertvolle Zeit bei der Fehlerbehebung spart.
Installation von HACS und Integration von IP-Ban-Allowlist in Home Assistant
Schritt 1: Installation von HACS in Home Assistant
Home Assistant Community Store (HACS) ist ein benutzerdefiniertes Add-on für Home Assistant, das den Zugriff auf eine Vielzahl von benutzerdefinierten Integrationen und Plugins ermöglicht, die von der Community entwickelt wurden. So installierst du HACS:
- Voraussetzungen prüfen: Stelle sicher, dass dein Home Assistant idealerweise auf dem neuesten Stand ist.
- Download Skript ausführen: Für die Docker-Container Version oder die Core Version ein Terminal öffnen.
- Docker: in den Container einwählen mit:
docker exec -it homeassistant bash
oder (ähnlich) - Core: zum Nutzer wechseln, der Home Assistant ausführt
- Bei beiden Varianten folgenden Befehl ausführen:
wget -O - https://get.hacs.xyz | bash -
- Docker: in den Container einwählen mit:
- Home Assistant neu starten: Nachdem die Dateien kopiert wurden, starte Home Assistant neu.
- HACS in Home Assistant integrieren: Gehe in der Home Assistant-Oberfläche zu „Konfiguration“ > „Integrationen“ > „Hinzufügen“ und suche nach HACS. Füge es hinzu und gib dein GitHub-Token ein, falls du dazu aufgefordert wirst.
Für die Supervised Version gerne nochmal in der Dokumentation von HACS selbst die Installation nachlesen.
Schritt 2: IP-Ban-Allowlist-Integration über HACS hinzufügen
Nachdem HACS installiert ist, kann man IP-Ban-Allowlist einfach hinzufügen:
- Öffne HACS: Gehe in der Home Assistant-Oberfläche zu HACS.
- Öffne das erweiterte Menü: Klicke auf die drei Punkte oben rechts und dort auf „Benutzerdefinierte Repositories“.
- Repository hinzufügen: Nun gebe bei Repository die URL des GitHub Repository ein (https://github.com/palfrey/ban_allowlist) und wähle beim Dropdown Menü Typ „Integration“ aus
- Integration suchen: Klicke auf „Integrationen“ und verwenden die Suchfunktion, um nach „IP-Ban-Allowlist“ zu suchen. So stellst du sicher, dass alles geklappt hat.
- IP-Ban-Allowlist installieren: Finde IP-Ban-Allowlist in der Liste und klicke auf „Installieren“. Dadurch wird die Integration zu deinem Home Assistant hinzugefügt.
- IP-Ban-Allowlist konfigurieren: Nun musst du in deine configuration.yaml gehen, da du das Tool nicht über die Home Assistant UI konfigurieren kannst. Dort fügst du etwas wie das nachfolgende ein:
ban_allowlist:
ip_addresses: ["my.ip.address", "another.network.address/24"]
- Home Assistant neu starten: Starte Home Assistant erneut, um die Änderungen zu übernehmen.
Abschluss
Mit diesen Schritten hast du HACS erfolgreich in deinem Home Assistant installiert und die IP-Ban-Allowlist-Integration hinzugefügt. Diese leistungsstarke Kombination eröffnet eine Welt voller zusätzlicher Funktionen und Anpassungen, die von der Home Assistant-Community entwickelt wurden und werden. Es folgen weitere Blogbeiträge und Videos zu nützlichen Integrationen. Wenn du das nicht verpassen möchtest, abonniere meinen YouTube-Kanal!
Warnung
Wenn du Home Assistant ohne direkten Internetzugriff verwendest und nur interne IP-Adressen in die Allowlist aufnimmst, kannst du die IP-Ban-Allowlist problemlos nutzen, ohne ein Sicherheitsrisiko einzugehen. Für den Zugriff von außerhalb empfiehlt es sich, ein VPN zu verwenden, um sicher und geschützt auf dein System zuzugreifen.
Allerdings ist große Vorsicht geboten, wenn du externe IP-Adressen zur Allowlist hinzufügst und deine Home Assistant-Instanz auch direkt aus dem Internet erreichbar ist, sei es über einen offenen Port oder Dienste wie Nabu Casa. Eine falsche Konfiguration könnte dann dazu führen, dass unautorisierte Zugriffe nicht gebannt werden und potenziell auf dein Smarthome-System zugreifen können.
Funktionsweise & Beispiele
Die IP-Ban-Allowlist-Integration für Home Assistant greift technisch auf eine wenig konventionelle Methode zurück, um das Fehlen einer nativen Allowlist-Funktion im System zu umgehen. Home Assistant bietet von Haus aus eine IP-Banning-Funktion, die IP-Adressen nach mehreren fehlerhaften Login-Versuchen sperrt – praktisch, wenn du eine öffentlich zugängliche Instanz absichern möchtest. Problematisch wird es jedoch, wenn diese Funktion versehentlich auch interne IP-Adressen bannt, z. B. wenn ein internes Gerät deinen Home Assistant über die externe Adresse anspricht.
Da die Home Assistant-Entwickler dies nicht als Bug des Systems sehen und eine native Allowlist-Funktion ablehnen, musste die Community kreativ werden. Die IP-Ban-Allowlist-Integration löst das Problem mit einem „Hack“, indem sie direkt in den HTTP-Handler von Home Assistant eingreift. Sie umschließt die Banning-Logik mit einer „Wrapper“-Funktion, die prüft, ob eine IP-Adresse auf der Allowlist steht, bevor sie gebannt wird. So wird das interne Bannen umgangen, allerdings auf einem technisch riskanten Weg, da der Code tief in die Funktionalität von Home Assistant eingreift und die HTTP-Mechanismen verändert.
Dieser Ansatz wird zwar mit einer umfangreichen Test-Suite abgesichert und regelmäßig gegen alle neueren Home Assistant-Versionen getestet, jedoch bleibt er ein „Hack“ ohne offizielle Unterstützung. Es ist wichtig, diese Lösung mit Vorsicht zu verwenden, da zukünftige Updates von Home Assistant potenziell Inkompatibilitäten verursachen könnten.
Eine beispielhafte Konfiguration könnte so aussehen:
ban_allowlist:
allowlist_ips:
- 192.168.1.1 # Beispiel-IP-Adresse deines Routers
- 192.168.1.2 # Weitere IP-Adresse
- 192.168.1.0/24 # Beispiel für ein ganzes Subnetz
Tipps zur Verwendung der IP-Ban-Allowlist
- Subnetze sorgfältig auswählen: Wenn du ein ganzes Subnetz (z. B.
192.168.1.0/24
) erlaubst, bleiben alle Geräte in diesem Netzwerkbereich von Sperren verschont. Überlege gut, wie groß der Bereich sein soll, um deine Sicherheit nicht zu gefährden. - Regelmäßige Kontrolle: Überprüfe regelmäßig deine Allowlist, um sicherzustellen, dass nur die Geräte aufgeführt sind, die wirklich von Sperren ausgenommen werden sollen.
- Sicherheitsvorkehrungen beibehalten: Auch mit der Allowlist sollte jedes Gerät ein sicheres Passwort verwenden, um dein System zusätzlich zu schützen.
Was tun bei Problemen?
Sollte es dennoch einmal vorkommen, dass Home Assistant eine wichtige IP-Adresse bannt, die du nicht in der Allowlist eingetragen hast, kannst du diese Sperre manuell aufheben:
- Logs überprüfen: Schaue in den Logs von Home Assistant nach, ob und warum eine bestimmte IP gesperrt wurde.
- Allowlist anpassen: Füge die betroffene IP zur Allowlist hinzu, um zukünftige Sperren zu verhindern.
- IP-Ban-Datei löschen: Wenn der Zugriff immer noch blockiert wird, kannst du die Datei
.storage/ip_bans.yaml
löschen und Home Assistant neu starten. Das hebt alle IP-Sperren auf.
Umsetzung im YouTube-Video
Fazit
Mit der IP-Ban-Allowlist erhältst du die Kontrolle darüber, welche IP-Adressen Home Assistant garantiert nicht sperrt. So schützt du wichtige interne Geräte und vermeidest, dass dein Smarthome-System durch Fehlalarme aus dem Tritt gerät.
0 Kommentare