In meinem HomeLab möchte ich alle services welche ich über Nginx Proxy Manager extern verfügbar mache, zusätzlich mit 2FA absichern.
Hierfür habe ich Authentik eingerichtet.
Nun die Frage:
Macht dieses Setup überhaupt sinn?
Ich mein, auf der einen Seite sind alle Apps mit 2FA abgesichert, auf der anderen Seite ist nun Authentik aus dem bösen Netz verfügbar.
Gibt es etwas was ich berücksichtigen soll?
Schemenhaft habe ich folgendes setup. Alle services sind mit Lets encrypt verschlüsselt, jedoch bin ich mir hierbei nicht sicher.
MFA ergibt an der Stelle Sinn, wenn der zweite Faktor sowas wie OneTimePassword oder Tools wie Google Authentikator oder Duo ist. Wenn der zweite Faktor auch nur ein Password ist, ist der Mehrwert nur geringfügig. Da ein Angreifer dann halt zwei Passwörter raus finden muss und du wahrscheinlich nicht mal was bemerkst.
Ich kenn Authentik nicht, vermute wird aber ähnlich wie Authelia sein.
Habe meine Umgebung über Authelia mit Duo abgesichert. Sprich nach der Eingabe des Passwortes bekomme ich automatisch ein Anfrage auf meinem Handy, was ich bei Duo hinterlegt habe. Die Anfrage muss ich dann erst bestätigen.
Wenn also jemand mein Passwort „knacken“ sollte, bekomm ich das mit
Ein weiterer Punkt was für einen zusätzlichen Authorisations-Dienst spricht, da hat mich Kollege drauf gebracht. Applikationen wie Pi-hole oder auch Portainer und andere, sind nicht dafür Enwickelt worden, von außen erreichbar zu sein. Das sind eher interne Applikationen. Ich bin jetzt kein Programmierer, aber ich vermute die werden nicht so eine hohes Sicherheitslevel / Schutz haben. Dafür wurden sie auch nicht entwickelt. Auch blocken die Applikationen einen Angreifer nicht, bei zuvielen Fehlversuchen.
Von daher find ich deine Entscheidung gut, die Dienste zusätzlich über Authentik abzusichern. Wie geschrieben, die MFA sollte nur nicht nur aus einem zweite Passwort bestehen
Genau. Mit Authentik wurde der Zugang zur App (Webseite) abgesichert. D.h. nur wer sich gegeüber Authentik authentifizieren kann wird zur Seite geroutet. Danach greift die normale Anmeldung der App.
Es wird ein TOTP eingesetzt.
Habe das mit Authentik für Portainer und Proxmox eingerichtet. Ging relativ einfach… wichtig ist, dass als Nginx Reverse Proxy genutzt wird. Habe mir zuvor mit Zoraxy die Zähne ausgebissen und schlussendlich auf NPM gewechselt.
Ich hab den Wechsel von Zoraxy auf Traefik gemacht XD Die Kombination Traefik und Authelia läuft auch sehr gut. Hatte mich mit dem SSO Thema bisher nur kurz beschäftigt.
Muss ich bei Gelegenheit mal nochmal angehen. Glaube bin damals an der API Schnittstelle gescheitert.
