Voltar ao blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Proxies para Home Assistant: acesso remoto seguro à casa inteligente sem invasões

O porto aberto do Home Assistant é uma brecha na segurança da sua casa inteligente. Explicamos como configurar o acesso remoto seguro via proxy e evitar ser vítima de hackers.

📅12 de junho de 2026
```html

Você instalou o Home Assistant, conectou tomadas inteligentes, termostato e câmeras — e deseja controlar tudo isso pelo smartphone de qualquer lugar do mundo. Mas o acesso aberto à internet sem proteção transforma sua casa inteligente em um alvo fácil para hackers. Neste artigo, vamos discutir como organizar corretamente o acesso remoto ao Home Assistant através de um proxy e proteger sua rede doméstica.

Por que o acesso direto ao Home Assistant é perigoso

O Home Assistant é uma poderosa plataforma de automação de casas inteligentes de código aberto. Milhões de usuários em todo o mundo gerenciam iluminação, clima, fechaduras, câmeras e dezenas de outros dispositivos através dele. Mas é exatamente essa popularidade que torna o Home Assistant um alvo atraente para criminosos.

Quando você abre a porta 8123 (a porta padrão do Home Assistant) diretamente através do roteador para a internet, você está literalmente pendurando um cartaz de "bem-vindo" para scanners automáticos. Esses scanners percorrem toda a faixa de endereços IP e procuram portas abertas de serviços conhecidos. De acordo com o Shodan (um mecanismo de busca para dispositivos na internet), dezenas de milhares de instâncias do Home Assistant estão constantemente disponíveis publicamente.

O que acontece depois que um criminoso descobre seu Home Assistant:

  • Força bruta de senha — scripts automáticos testam milhares de combinações de login/senha. Se você tiver uma senha fraca, a invasão é uma questão de minutos.
  • Exploração de vulnerabilidades — versões antigas do Home Assistant frequentemente apresentam falhas críticas que permitem acesso sem senha.
  • Espionagem através de câmeras — ao obter acesso ao HA, o criminoso pode ver a transmissão de todas as câmeras conectadas em tempo real.
  • Controle de fechaduras e alarmes — se você conectou uma fechadura inteligente, o hacker pode abrir a porta da sua casa remotamente.
  • Roubo de dados de automação — a partir do histórico do HA, é possível saber quando você está em casa, quando sai, modo de sono e outros dados privados.

⚠️ Caso real

Em 2023, pesquisadores de segurança descobriram uma vulnerabilidade CVE-2023-27482 no Home Assistant, que permitia contornar a autenticação sem qualquer credencial. Todas as instâncias com acesso aberto à internet estavam vulneráveis até a liberação do patch. Aqueles que usavam uma camada de proxy ou VPN estavam protegidos automaticamente.

Como o proxy protege a casa inteligente: princípio de funcionamento

O proxy, no contexto do Home Assistant, atua como um intermediário entre a internet e seu servidor. Em vez de seu Home Assistant ser visível diretamente da rede, apenas o servidor proxy é visível do exterior — e ele encaminha as solicitações para dentro, aplicando verificações adicionais.

O esquema de funcionamento é o seguinte: 

Seu smartphone (internet)
        ↓
  Servidor Proxy
  (filtragem, criptografia, autorização)
        ↓
  Rede doméstica (fechada)
        ↓
  Home Assistant (192.168.1.X:8123)

O que esse adicional camada oferece:

  • Ocultação do IP real — os scanners veem o IP do proxy, não o seu endereço doméstico. Mesmo que o proxy seja invadido, eles não terão acesso à rede doméstica diretamente.
  • Criptografia SSL/TLS — o proxy pode terminar a conexão HTTPS e fornecer um certificado válido, protegendo o tráfego contra interceptação.
  • Autenticação adicional — você pode configurar a autenticação básica ou autenticação de dois fatores diretamente no nível do proxy antes do Home Assistant.
  • Limitação de taxa — limitar o número de solicitações de um IP bloqueia ataques de força bruta antes que eles cheguem ao Home Assistant.
  • Geobloqueio — é possível permitir acesso apenas de determinados países ou faixas de IP.
  • Registro — todas as tentativas de acesso são registradas, ajudando a identificar atividades suspeitas.

É importante entender a diferença entre dois tipos de proxy que são usados neste cenário: o proxy reverso é instalado em seu servidor ou roteador e aceita conexões de entrada, enquanto o proxy externo é um servidor intermediário na nuvem, através do qual seu tráfego é tunelado. Ambas as abordagens têm suas vantagens, e vamos analisar cada uma.

Quais tipos de proxy são adequados para o Home Assistant

Antes de escolher uma solução, é importante entender que as tarefas do Home Assistant e, por exemplo, de um especialista em arbitragem ou SMM são fundamentalmente diferentes. Para uma casa inteligente, precisamos de um túnel seguro para controle remoto, não de um proxy anônimo para contornar bloqueios. Vamos analisar as opções:

Tipo de solução Como funciona Vantagens Desvantagens Dificuldade
Proxy Reverso (Nginx/Caddy) Aceita solicitações HTTPS do exterior e as encaminha para o HA internamente Gratuito, controle total, SSL Necessita de IP público ou DDNS, porta 443 aberta Média
Cloudflare Tunnel Túnel do HA para os servidores Cloudflare, sem necessidade de portas Gratuito, não precisa de IP público, proteção contra DDoS O tráfego passa pelos servidores Cloudflare, necessita de domínio Baixa
VPS + Proxy Aluga um VPS, tunelando o tráfego através dele Seu IP, controle máximo Pago, requer configuração Alta
Nabu Casa (oficial) Serviço em nuvem dos desenvolvedores do HA Maximamente simples, suporta Alexa/Google Assinatura paga ~$6.50/mês Muito baixa
Proxy Residencial Roteamento do tráfego de saída através de um IP residencial real IP real, não bloqueado por serviços Adequado para tráfego de saída, não para entrada Baixa

Para a maioria dos usuários do Home Assistant, a escolha ideal será o Cloudflare Tunnel (gratuito, sem necessidade de IP público) ou o proxy reverso no Nginx/Caddy (se houver IP público ou DNS dinâmico). O Nabu Casa é adequado para quem não quer se preocupar com configurações. Vamos analisar cada opção em detalhes.

Proxy Reverso (Nginx, Caddy): configuração passo a passo

O proxy reverso é a maneira clássica e mais flexível de organizar o acesso seguro ao Home Assistant. Ele é instalado no mesmo dispositivo que o HA (por exemplo, em um Raspberry Pi ou Home Assistant OS), ou em um servidor separado na rede doméstica.

Opção 1: Caddy (recomendado para iniciantes)

O Caddy é um servidor web moderno que obtém e atualiza automaticamente certificados SSL através do Let's Encrypt. Não são necessárias configurações manuais do certbot.

Passo 1: O que você vai precisar

  • Nome de domínio (pode ser gratuito no DuckDNS ou No-IP)
  • Encaminhamento da porta 443 no roteador para o IP do seu Home Assistant
  • Home Assistant instalado (qualquer versão)

Passo 2: Instalando o Caddy como um complemento no Home Assistant OS

Se você estiver usando o Home Assistant OS (HAOS), abra a seção Configurações → Complementos → Loja de Complementos e encontre o complemento Caddy 2. Instale-o e vá para a configuração.

Passo 3: Configuração básica do Caddyfile

seu-dominio.duckdns.org {
    reverse_proxy localhost:8123
    
    # Proteção adicional: Autenticação Básica antes do HA
    # basicauth {
    #     admin $2a$14$hash_da_senha
    # }
    
    # Limitação de taxa: não mais que 10 solicitações por segundo
    rate_limit {
        zone static_zone {
            key    {remote_host}
            events 10
            window 1s
        }
    }
    
    # Cabeçalhos de segurança
    header {
        X-Frame-Options DENY
        X-Content-Type-Options nosniff
        Referrer-Policy no-referrer
    }
}

Passo 4: Configurando o Home Assistant para funcionar atrás do proxy

Abra o arquivo configuration.yaml e adicione as seguintes linhas. Isso é obrigatório — caso contrário, o HA rejeitará as solicitações do proxy: 

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 127.0.0.1
    - ::1

Após salvar, reinicie o Home Assistant. Agora, acesse-o pelo endereço https://seu-dominio.duckdns.org — a conexão será criptografada e o IP real do seu roteador estará oculto atrás do domínio.

Opção 2: Cloudflare Tunnel (sem IP público)

Se você não tem um IP público (a maioria dos provedores domésticos fornece IPs privados atrás de NAT), o Cloudflare Tunnel é a solução ideal. Você instala um pequeno agente cloudflared no dispositivo com Home Assistant, e ele cria automaticamente um túnel criptografado para os servidores Cloudflare. Sem portas abertas no roteador!

Configuração passo a passo:

  1. Registre-se em cloudflare.com e adicione seu domínio (ou use um subdomínio gratuito).
  2. No painel do Cloudflare, vá para Zero Trust → Networks → Tunnels.
  3. Clique em Create a tunnel, dê um nome ao túnel (por exemplo, home-assistant).
  4. Copie o comando de instalação e execute-o no dispositivo com HA (ou instale o complemento Cloudflared da loja HAOS).
  5. Na seção Public Hostname, insira:
    — Subdomínio: ha
    — Domínio: seu domínio
    — Serviço: http://localhost:8123
  6. Adicione ao configuration.yaml os proxies confiáveis do Cloudflare (faixas de IP podem ser encontradas em cloudflare.com/ips).
  7. Opcional: ative o Zero Trust Access — um nível adicional de autenticação via e-mail ou conta do Google antes de entrar no HA.

💡 Dica

O Cloudflare Tunnel é completamente gratuito para uso pessoal. A única limitação é que o tráfego passa pelos servidores Cloudflare. Para gerenciar sua casa inteligente, isso é absolutamente aceitável, e a proteção contra DDoS e bots vem incluída.

Servidor proxy externo: quando é necessário e como conectar

Um servidor proxy externo é um nó intermediário na nuvem, através do qual seu tráfego é roteado. No contexto do Home Assistant, ele é usado em vários cenários específicos que não são cobertos pelo proxy reverso.

Cenário 1: Acesso ao Home Assistant de uma rede corporativa

Muitas redes corporativas bloqueiam portas não padrão e conexões VPN. Se você deseja controlar sua casa inteligente a partir de um computador de trabalho, onde a maioria das conexões está bloqueada, o tráfego através de um proxy residencial parece tráfego HTTPS normal de um usuário doméstico e não levanta suspeitas do firewall corporativo.

Cenário 2: Integrações com serviços geograficamente restritos

O Home Assistant pode se integrar com milhares de serviços externos: APIs de clima, alto-falantes inteligentes, plataformas de streaming. Alguns deles estão disponíveis apenas em determinados países. Por exemplo, a integração com Amazon Alexa ou Google Assistant requer que o servidor esteja acessível dos EUA ou Europa. Nesse caso, o tráfego de saída do HA pode ser direcionado através de um proxy de datacenter na região necessária.

Cenário 3: Anonimização das solicitações de saída do HA

O Home Assistant regularmente faz chamadas para APIs externas: verifica o clima, obtém dados de tráfego, sincroniza com serviços em nuvem. Todas essas solicitações saem do seu IP doméstico, revelando sua localização para serviços externos. Configurar um proxy de saída nas configurações do HA permite ocultar o IP real.

Como configurar um proxy de saída no Home Assistant:

No Home Assistant OS, vá para Configurações → Sistema → Rede. Aqui você pode especificar um proxy HTTP/HTTPS para todas as conexões de saída. Insira os dados do proxy no formato: 

Proxy HTTP:  http://usuario:senha@servidor-proxy:porta
Proxy HTTPS: http://usuario:senha@servidor-proxy:porta

Alternativamente, se você estiver executando o HA no Docker, pode definir as variáveis de ambiente HTTP_PROXY e HTTPS_PROXY no arquivo docker-compose.yml: 

version: '3'
services:
  homeassistant:
    image: ghcr.io/home-assistant/home-assistant:stable
    environment:
      - HTTP_PROXY=http://usuario:senha@servidor-proxy:porta
      - HTTPS_PROXY=http://usuario:senha@servidor-proxy:porta
      - NO_PROXY=localhost,127.0.0.1,192.168.0.0/16
    volumes:
      - ./config:/config
    network_mode: host
    restart: unless-stopped

Preste atenção na variável NO_PROXY — ela exclui endereços locais da proxy, permitindo que o HA se comunique diretamente com dispositivos em sua rede doméstica.

Nabu Casa vs proxy autônomo: o que escolher

O Nabu Casa é um serviço em nuvem oficial da equipe do Home Assistant. Ele resolve o problema do acesso remoto em um clique: nenhuma configuração de DNS, SSL, portas abertas. Você simplesmente se inscreve e recebe uma URL pronta do tipo https://seu-id.ui.nabu.casa.

Critério Nabu Casa Cloudflare Tunnel Nginx/Caddy
Custo ~$6.50/mês Gratuito Gratuito
Dificuldade de configuração ⭐ Muito simples ⭐⭐ Simples ⭐⭐⭐ Média
Necessita de IP público Não Não Sim (ou DDNS)
Domínio próprio Não Sim Sim
Alexa / Google Home ✅ Integrado Configuração manual Configuração manual
Privacidade Tráfego através dos servidores Nabu Casa Tráfego através do Cloudflare Controle total
Suporte dos desenvolvedores do HA ✅ Sim Não Não

Conclusão: Se você está começando e quer o mínimo de dor de cabeça — escolha o Nabu Casa. Se deseja uma solução gratuita sem IP público — vá de Cloudflare Tunnel. Se a privacidade total é importante e você quer seu próprio nome de domínio — configure o Nginx ou Caddy.

Checklist de segurança: 10 regras para proteger o Home Assistant

O proxy é um elemento importante, mas não o único, na proteção. Aqui está um checklist completo que fechará a maioria dos vetores de ataque à sua casa inteligente:

✅ Checklist de segurança do Home Assistant

  1. Instale uma camada de proxy (Caddy, Nginx ou Cloudflare Tunnel) — nunca abra a porta 8123 diretamente.
  2. Ative o HTTPS — apenas conexões criptografadas. O Caddy faz isso automaticamente.
  3. Use uma senha complexa — mínimo de 16 caracteres, números, caracteres especiais. Melhor ainda — use um gerenciador de senhas.
  4. Ative a autenticação de dois fatores no Home Assistant: Configurações → Usuários → Ativar 2FA (TOTP através do Google Authenticator ou Authy).
  5. Desative a criação de contas através da interface (onboarding) após a configuração inicial.
  6. Configure a limitação de taxa no proxy — não mais que 5-10 tentativas de login por minuto de um único IP.
  7. Ative o fail2ban ou similar — bloqueio automático de IP após várias tentativas de login malsucedidas.
  8. Atualize regularmente o Home Assistant — a maioria das vulnerabilidades críticas é corrigida dentro de 24-48 horas após a descoberta.
  9. Isolar dispositivos de casa inteligente em uma VLAN separada ou rede Wi-Fi de convidados — se um dispositivo for invadido, a rede restante permanecerá segura.
  10. Desative integrações e complementos desnecessários — cada componente ativo aumenta a superfície de ataque.

Adicional: configuração do fail2ban para o Home Assistant

Se você estiver usando um sistema Linux (por exemplo, Home Assistant Supervised no Debian), instale o fail2ban para bloquear automaticamente IPs atacantes: 

# Instalação do fail2ban
sudo apt install fail2ban

# Crie o arquivo /etc/fail2ban/filter.d/hass.conf
[Definition]
failregex = ^%(__prefix_line)s.*Login attempt or request with invalid authentication from <HOST>.*$
ignoreregex =

# Crie a regra em /etc/fail2ban/jail.d/hass.conf
[hass]
enabled  = true
filter   = hass
logpath  = /config/home-assistant.log
maxretry = 5
bantime  = 3600
findtime = 600

Esta regra bloqueia o IP por 1 hora após 5 tentativas de login malsucedidas em 10 minutos. Você pode endurecer as configurações: aumentar bantime para 86400 (24 horas) ou diminuir maxretry para 3.

Monitoramento de atividades suspeitas

O Home Assistant possui um registro de autenticação embutido. Verifique-o regularmente através de Configurações → Sistema → Registros. Procure linhas com Login attempt e invalid authentication. Se você notar tentativas de IPs desconhecidos — isso é um sinal de que seu HA foi descoberto por scanners.

Você também pode configurar uma notificação automática no Telegram para tentativas de login malsucedidas. Crie uma automação no Home Assistant: 

alias: Notificação de login malsucedido
trigger:
  - platform: event
    event_type: system_log_event
    event_data:
      level: WARNING
condition:
  - condition: template
    value_template: "{{ 'Login attempt' in trigger.event.data.message }}"
action:
  - service: notify.telegram
    data:
      message: "⚠️ Tentativa de login no Home Assistant: {{ trigger.event.data.message }}"

Conclusão

O acesso remoto seguro ao Home Assistant não é uma "funcionalidade" opcional, mas uma condição obrigatória para todos que desejam gerenciar sua casa inteligente pela internet. Um porto aberto sem uma camada de proteção é uma questão não de "se será invadido", mas de "quando será invadido". A camada de proxy (proxy reverso ou túnel) muda radicalmente o cenário: os criminosos veem apenas o proxy, e não seu servidor real e rede doméstica.

Resumo breve sobre a escolha da solução:

  • Iniciante, quero algo simples e rápido → Nabu Casa ou Cloudflare Tunnel
  • Tenho IP público, quero controle → Caddy ou Nginx como proxy reverso
  • Não tenho IP público, quero gratuito → Cloudflare Tunnel + DuckDNS
  • Máxima privacidade → VPS + túnel WireGuard + proxy reverso

Não se esqueça de que o proxy é a primeira linha de defesa. Complementá-lo com autenticação de dois fatores, atualizações regulares e monitoramento de registros. A casa inteligente deve ser inteligente também em questões de segurança.

Se além de proteger o tráfego de entrada você precisa ocultar as solicitações de saída do Home Assistant para APIs externas ou acessar integrações geograficamente restritas, recomendamos considerar proxies residenciais — eles fornecem endereços IP residenciais reais que não são bloqueados por serviços em nuvem e provedores de API.

```