Naja - also....
Komfortfunktionen und Sicherheit - das ist der erste Wiederspruch.
Ich muss ja für jede meiner Komfortfunktionen (die ich von aussen nutzen möchte) ein Loch in die Brandmauer hacken.
Je mehr Komfort ich von außen nutzen möchte, umso eher wird die Mauer zum Maschendrahtzaun.
Man muss dann defineiren was man wirklich braucht, das wäre der erste Schritt zur sogenannten 'Härtung'.
Gibt es keine Dienste auf die ich verzichten möchte - muss man definieren ob man all diese Dienste, zb Haustomation, auf einem Rechner vereinen kann, den man dann in die 'DMZ' (demilitarisierte Zone) stellt. Dieser Rechner selber verfügt dann idealerweise auch über eine eigene (Software)Firewall. Eine weitere Verbindung (IP mäßig) ins Hausnetz exisitert dann idealerweise nicht.
Kann man diese Dienste nicht auf einem Rechner vereinen, und will man sie von außen nutzen, muss man sich mal eine Zeichnung machen welche Dienste (Ports) von wo nach wo überhaupt erforderlich sind. Danach prüft man, ob der Router mehr Löcher wie erforderlich hat.
Außer das man auf sichere Passwörter achtet.. und ab und an Newsticker / das Ereignisprotokoll prüft...
bleibt dann nicht viel was man mit Hausmitteln tun kann.