Quay lại blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Proxy cho Home Assistant: Truy cập từ xa an toàn vào ngôi nhà thông minh mà không bị hack

Cổng mở của Home Assistant là một lỗ hổng bảo mật trong ngôi nhà thông minh của bạn. Chúng tôi sẽ hướng dẫn cách thiết lập truy cập từ xa an toàn thông qua proxy và không trở thành nạn nhân của việc bị hack.

📅12 tháng 6, 2026
```html

Bạn đã cài đặt Home Assistant, kết nối các ổ cắm thông minh, bộ điều chỉnh nhiệt độ và camera — và muốn quản lý tất cả từ điện thoại thông minh của mình từ bất kỳ đâu trên thế giới. Nhưng việc mở truy cập internet mà không có bảo vệ biến ngôi nhà thông minh của bạn thành mục tiêu dễ dàng cho các hacker. Trong bài viết này, chúng ta sẽ tìm hiểu cách tổ chức truy cập từ xa đúng cách cho Home Assistant qua proxy và bảo vệ mạng gia đình của bạn.

Tại sao truy cập trực tiếp vào Home Assistant lại nguy hiểm

Home Assistant là một nền tảng mạnh mẽ cho tự động hóa ngôi nhà thông minh với mã nguồn mở. Hàng triệu người dùng trên toàn thế giới quản lý ánh sáng, khí hậu, khóa, camera và hàng chục thiết bị khác thông qua nó. Nhưng chính sự phổ biến này khiến Home Assistant trở thành mục tiêu hấp dẫn cho những kẻ xấu.

Khi bạn mở cổng 8123 (cổng tiêu chuẩn của Home Assistant) trực tiếp qua router ra internet, bạn thực sự treo bảng "chào mừng" cho các máy quét tự động. Những máy quét này quét toàn bộ dải địa chỉ IP và tìm kiếm các cổng mở của các dịch vụ nổi tiếng. Theo dữ liệu từ Shodan (công cụ tìm kiếm thiết bị trên internet), hàng chục nghìn phiên bản Home Assistant luôn có sẵn trên internet.

Điều gì xảy ra sau khi kẻ xấu phát hiện Home Assistant của bạn:

  • Đoán mật khẩu — các script tự động thử hàng ngàn tổ hợp đăng nhập/mật khẩu. Nếu bạn có mật khẩu yếu, việc hack chỉ là vấn đề phút.
  • Khai thác lỗ hổng — trong các phiên bản cũ của Home Assistant, thỉnh thoảng tìm thấy những lỗ hổng nghiêm trọng cho phép truy cập mà không cần mật khẩu.
  • Theo dõi qua camera — khi có quyền truy cập vào HA, kẻ xấu có thể xem tất cả các camera đã kết nối trong thời gian thực.
  • Quản lý khóa và báo động — nếu bạn đã kết nối một khóa thông minh, hacker có thể mở cửa nhà bạn từ xa.
  • Đánh cắp dữ liệu tự động hóa — từ lịch sử HA, có thể biết khi nào bạn ở nhà, khi nào bạn rời đi, chế độ ngủ và các dữ liệu riêng tư khác.

⚠️ Trường hợp thực tế

Năm 2023, các nhà nghiên cứu bảo mật phát hiện lỗ hổng CVE-2023-27482 trong Home Assistant, cho phép vượt qua xác thực mà không cần bất kỳ thông tin đăng nhập nào. Tất cả các phiên bản có sẵn trên internet đều dễ bị tổn thương cho đến khi bản vá được phát hành. Những người sử dụng lớp proxy hoặc VPN đã được bảo vệ tự động.

Cách proxy bảo vệ ngôi nhà thông minh: nguyên lý hoạt động

Proxy trong ngữ cảnh Home Assistant hoạt động như một trung gian giữa internet và máy chủ của bạn. Thay vì Home Assistant của bạn được nhìn thấy trực tiếp từ mạng, bên ngoài chỉ thấy máy chủ proxy — và nó sẽ chuyển tiếp các yêu cầu vào bên trong, áp dụng các kiểm tra bổ sung.

Sơ đồ hoạt động như sau: 

Điện thoại thông minh của bạn (internet)
        ↓
  Máy chủ proxy
  (lọc, mã hóa, xác thực)
        ↓
  Mạng gia đình (đóng)
        ↓
  Home Assistant (192.168.1.X:8123)

Lớp bổ sung này mang lại lợi ích gì:

  • Ẩn IP thực — các máy quét thấy IP của proxy, chứ không phải địa chỉ nhà của bạn. Ngay cả khi proxy bị hack, họ cũng không thể truy cập vào mạng gia đình trực tiếp.
  • Mã hóa SSL/TLS — proxy có thể kết thúc kết nối HTTPS và cung cấp chứng chỉ hợp lệ, bảo vệ lưu lượng truy cập khỏi bị đánh chặn.
  • Xác thực bổ sung — có thể đặt Basic Auth hoặc xác thực hai yếu tố trước Home Assistant ngay trên cấp độ proxy.
  • Giới hạn tốc độ — giới hạn số lượng yêu cầu từ một IP chặn các cuộc tấn công brute force trước khi chúng đến Home Assistant.
  • Chặn địa lý — có thể cho phép truy cập chỉ từ một số quốc gia hoặc dải IP nhất định.
  • Ghi log — tất cả các nỗ lực truy cập đều được ghi lại, giúp phát hiện hoạt động đáng ngờ.

Quan trọng là hiểu sự khác biệt giữa hai loại proxy được sử dụng trong kịch bản này: proxy ngược (reverse proxy) được cài đặt trên máy chủ hoặc router của bạn và nhận các kết nối đến, trong khi proxy bên ngoài là một máy chủ trung gian trên đám mây, qua đó lưu lượng của bạn được tunnel. Cả hai phương pháp đều có ưu điểm riêng, và chúng ta sẽ phân tích từng cái.

Các loại proxy nào phù hợp cho Home Assistant

Trước khi chọn giải pháp, điều quan trọng là hiểu rằng các nhiệm vụ của Home Assistant và, ví dụ, của một nhà môi giới hoặc chuyên gia SMM là hoàn toàn khác nhau. Đối với ngôi nhà thông minh, chúng ta không cần một proxy ẩn danh để vượt qua các chặn, mà là một đường hầm bảo mật để quản lý từ xa. Hãy xem xét các tùy chọn:

Loại giải pháp Cách hoạt động Ưu điểm Nhược điểm Độ khó
Proxy ngược (Nginx/Caddy) Nhận các yêu cầu HTTPS từ bên ngoài và chuyển tiếp đến HA bên trong Miễn phí, kiểm soát hoàn toàn, SSL Cần IP trắng hoặc DDNS, cổng 443 mở Trung bình
Cloudflare Tunnel Đường hầm từ HA đến máy chủ Cloudflare, không cần cổng Miễn phí, không cần IP trắng, bảo vệ DDoS Lưu lượng đi qua Cloudflare, cần tên miền Thấp
VPS + proxy Thuê VPS, tunnel lưu lượng qua nó IP riêng, kiểm soát tối đa Mất phí, cần cấu hình Cao
Nabu Casa (chính thức) Dịch vụ đám mây từ các nhà phát triển HA Rất dễ dàng, hỗ trợ Alexa/Google Đăng ký trả phí ~$6.50/tháng Rất thấp
Proxy cư trú Định tuyến lưu lượng ra qua IP nhà thật IP thật, không bị chặn bởi các dịch vụ Phù hợp cho lưu lượng ra, không cho lưu lượng vào Thấp

Đối với hầu hết người dùng Home Assistant, lựa chọn tối ưu sẽ là Cloudflare Tunnel (miễn phí, không cần IP trắng) hoặc proxy ngược trên Nginx/Caddy (nếu có IP trắng hoặc DNS động). Nabu Casa sẽ phù hợp với những ai không muốn mất thời gian với cấu hình. Hãy phân tích từng tùy chọn một cách chi tiết.

Proxy ngược (Nginx, Caddy): thiết lập từng bước

Proxy ngược là cách cổ điển và linh hoạt nhất để tổ chức truy cập an toàn vào Home Assistant. Nó được cài đặt trên cùng một thiết bị với HA (ví dụ: trên Raspberry Pi hoặc Home Assistant OS), hoặc trên một máy chủ riêng trong mạng gia đình.

Tùy chọn 1: Caddy (được khuyên dùng cho người mới)

Caddy là một máy chủ web hiện đại, tự động nhận và cập nhật chứng chỉ SSL qua Let's Encrypt. Không cần cấu hình thủ công với certbot.

Bước 1: Bạn sẽ cần gì

  • Tên miền (có thể miễn phí trên DuckDNS hoặc No-IP)
  • Chuyển tiếp cổng 443 trên router đến IP của Home Assistant của bạn
  • Home Assistant đã được cài đặt (bất kỳ phiên bản nào)

Bước 2: Cài đặt Caddy như một addon trong Home Assistant OS

Nếu bạn đang sử dụng Home Assistant OS (HAOS), hãy mở phần Cài đặt → Tiện ích mở rộng → Cửa hàng tiện ích mở rộng và tìm addon Caddy 2. Cài đặt nó và chuyển đến cấu hình.

Bước 3: Cấu hình cơ bản Caddyfile

your-domain.duckdns.org {
    reverse_proxy localhost:8123
    
    # Bảo vệ bổ sung: Basic Auth trước HA
    # basicauth {
    #     admin $2a$14$hash_mật_khẩu
    # }
    
    # Giới hạn tốc độ: không quá 10 yêu cầu mỗi giây
    rate_limit {
        zone static_zone {
            key    {remote_host}
            events 10
            window 1s
        }
    }
    
    # Tiêu đề bảo mật
    header {
        X-Frame-Options DENY
        X-Content-Type-Options nosniff
        Referrer-Policy no-referrer
    }
}

Bước 4: Cấu hình Home Assistant để hoạt động qua proxy

Mở tệp configuration.yaml và thêm các dòng sau. Đây là điều bắt buộc — nếu không, HA sẽ từ chối các yêu cầu từ proxy: 

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 127.0.0.1
    - ::1

Sau khi lưu, hãy khởi động lại Home Assistant. Bây giờ hãy truy cập vào nó qua địa chỉ https://your-domain.duckdns.org — kết nối sẽ được mã hóa và IP thực của router của bạn sẽ được ẩn sau tên miền.

Tùy chọn 2: Cloudflare Tunnel (không cần IP trắng)

Nếu bạn không có IP trắng (hầu hết các nhà cung cấp dịch vụ gia đình cung cấp IP xám qua NAT), Cloudflare Tunnel là giải pháp lý tưởng. Bạn cài đặt một agent nhỏ cloudflared trên thiết bị có Home Assistant, và nó tự tạo một đường hầm mã hóa đến các máy chủ Cloudflare. Không cần cổng mở trên router!

Các bước thiết lập:

  1. Đăng ký tại cloudflare.com và thêm tên miền của bạn (hoặc sử dụng tên miền phụ miễn phí).
  2. Trong bảng điều khiển Cloudflare, hãy chuyển đến phần Zero Trust → Networks → Tunnels.
  3. Nhấn Tạo một đường hầm, đặt tên cho đường hầm (ví dụ, home-assistant).
  4. Sao chép lệnh cài đặt và thực hiện nó trên thiết bị có HA (hoặc cài đặt addon Cloudflared từ cửa hàng HAOS).
  5. Trong phần Tên miền công cộng, hãy chỉ định:
    — Tên miền phụ: ha
    — Tên miền: tên miền của bạn
    — Dịch vụ: http://localhost:8123
  6. Thêm vào configuration.yaml các proxy đáng tin cậy của Cloudflare (các dải IP có thể tìm thấy trên cloudflare.com/ips).
  7. Tùy chọn: bật Zero Trust Access — một lớp xác thực bổ sung qua email hoặc tài khoản Google trước khi vào HA.

💡 Mẹo

Cloudflare Tunnel hoàn toàn miễn phí cho việc sử dụng cá nhân. Giới hạn duy nhất là lưu lượng đi qua các máy chủ Cloudflare. Để quản lý ngôi nhà thông minh, điều này hoàn toàn chấp nhận được, và bảo vệ khỏi DDoS và bot đi kèm.

Máy chủ proxy bên ngoài: khi nào cần và cách kết nối

Máy chủ proxy bên ngoài là một nút trung gian trên đám mây, qua đó lưu lượng của bạn được định tuyến. Trong ngữ cảnh Home Assistant, nó được sử dụng trong một số kịch bản cụ thể mà proxy ngược không bao phủ.

Kịch bản 1: Truy cập Home Assistant từ mạng doanh nghiệp

Nhiều mạng doanh nghiệp chặn các cổng không chuẩn và kết nối VPN. Nếu bạn muốn quản lý ngôi nhà thông minh từ máy tính làm việc, nơi hầu hết các kết nối bị chặn, lưu lượng qua proxy cư trú sẽ giống như lưu lượng HTTPS thông thường của người dùng gia đình và không gây nghi ngờ cho tường lửa doanh nghiệp.

Kịch bản 2: Tích hợp với các dịch vụ bị giới hạn địa lý

Home Assistant có thể tích hợp với hàng ngàn dịch vụ bên ngoài: API thời tiết, loa thông minh, nền tảng phát trực tuyến. Một số dịch vụ chỉ có sẵn ở một số quốc gia nhất định. Ví dụ, tích hợp với Amazon Alexa hoặc Google Assistant yêu cầu máy chủ phải có sẵn từ Mỹ hoặc châu Âu. Trong trường hợp này, lưu lượng ra từ HA có thể được định tuyến qua proxy trung tâm dữ liệu trong khu vực cần thiết.

Kịch bản 3: Ẩn danh hóa các yêu cầu ra của HA

Home Assistant thường xuyên truy cập các API bên ngoài: kiểm tra thời tiết, nhận dữ liệu giao thông, đồng bộ hóa với các dịch vụ đám mây. Tất cả các yêu cầu này đều xuất phát từ IP nhà của bạn, tiết lộ vị trí của bạn cho các dịch vụ bên ngoài. Cấu hình proxy ra trong cài đặt hệ thống của HA cho phép ẩn IP thực.

Cách thiết lập proxy ra trong Home Assistant:

Trong Home Assistant OS, hãy chuyển đến Cài đặt → Hệ thống → Mạng. Tại đây bạn có thể chỉ định proxy HTTP/HTTPS cho tất cả các kết nối ra. Nhập thông tin proxy theo định dạng: 

HTTP Proxy:  http://người_dùng:mật_khẩu@máy_chủ_proxy:cổng
HTTPS Proxy: http://người_dùng:mật_khẩu@máy_chủ_proxy:cổng

Ngoài ra, nếu bạn chạy HA trong Docker, bạn có thể đặt các biến môi trường HTTP_PROXYHTTPS_PROXY trong tệp docker-compose.yml: 

version: '3'
services:
  homeassistant:
    image: ghcr.io/home-assistant/home-assistant:stable
    environment:
      - HTTP_PROXY=http://user:pass@proxy-server:port
      - HTTPS_PROXY=http://user:pass@proxy-server:port
      - NO_PROXY=localhost,127.0.0.1,192.168.0.0/16
    volumes:
      - ./config:/config
    network_mode: host
    restart: unless-stopped

Lưu ý biến NO_PROXY — nó loại trừ các địa chỉ cục bộ khỏi việc proxy, để HA có thể giao tiếp với các thiết bị trong mạng gia đình của bạn trực tiếp.

Nabu Casa vs proxy tự quản: chọn cái nào

Nabu Casa là dịch vụ đám mây chính thức từ đội ngũ Home Assistant. Nó giải quyết vấn đề truy cập từ xa chỉ với một cú nhấp chuột: không cần cấu hình DNS, SSL, cổng mở. Chỉ cần đăng ký và nhận URL sẵn sàng dưới dạng https://your-id.ui.nabu.casa.

Tiêu chí Nabu Casa Cloudflare Tunnel Nginx/Caddy
Chi phí ~$6.50/tháng Miễn phí Miễn phí
Độ khó cấu hình ⭐ Rất dễ ⭐⭐ Dễ ⭐⭐⭐ Trung bình
Cần IP trắng Không Không Có (hoặc DDNS)
Tên miền riêng Không
Alexa / Google Home ✅ Tích hợp sẵn Cần cấu hình thủ công Cần cấu hình thủ công
Bảo mật Lưu lượng qua máy chủ Nabu Casa Lưu lượng qua Cloudflare Kiểm soát hoàn toàn
Hỗ trợ từ các nhà phát triển HA ✅ Có Không Không

Kết luận: Nếu bạn mới bắt đầu và muốn ít đau đầu nhất — hãy chọn Nabu Casa. Nếu bạn muốn giải pháp miễn phí mà không cần IP trắng — hãy chọn Cloudflare Tunnel. Nếu bạn cần kiểm soát hoàn toàn và tên miền riêng — hãy cấu hình Nginx hoặc Caddy.

Danh sách kiểm tra bảo mật: 10 quy tắc bảo vệ Home Assistant

Proxy là một yếu tố quan trọng, nhưng không phải là yếu tố duy nhất trong bảo vệ. Đây là danh sách kiểm tra đầy đủ, sẽ đóng cửa hầu hết các vectơ tấn công vào ngôi nhà thông minh của bạn:

✅ Danh sách kiểm tra bảo mật Home Assistant

  1. Thiết lập lớp proxy (Caddy, Nginx hoặc Cloudflare Tunnel) — không bao giờ mở cổng 8123 trực tiếp.
  2. Bật HTTPS — chỉ các kết nối được mã hóa. Caddy tự động làm điều này.
  3. Sử dụng mật khẩu phức tạp — tối thiểu 16 ký tự, bao gồm số, ký tự đặc biệt. Tốt hơn — sử dụng trình quản lý mật khẩu.
  4. Bật xác thực hai yếu tố trong Home Assistant: Cài đặt → Người dùng → Bật 2FA (TOTP qua Google Authenticator hoặc Authy).
  5. Tắt việc tạo tài khoản qua UI (onboarding) sau khi cấu hình ban đầu.
  6. Cấu hình giới hạn tốc độ trên proxy — không quá 5-10 lần thử đăng nhập mỗi phút từ một IP.
  7. Bật fail2ban hoặc tương tự — tự động chặn IP sau nhiều lần thử đăng nhập không thành công.
  8. Cập nhật Home Assistant thường xuyên — hầu hết các lỗ hổng nghiêm trọng được đóng trong vòng 24-48 giờ sau khi được phát hiện.
  9. Isolate các thiết bị ngôi nhà thông minh trong một VLAN riêng hoặc mạng Wi-Fi khách — nếu một thiết bị bị hack, mạng còn lại sẽ an toàn.
  10. Tắt các tích hợp và addon không cần thiết — mỗi thành phần hoạt động mở rộng bề mặt tấn công.

Thêm: cấu hình fail2ban cho Home Assistant

Nếu bạn sử dụng hệ thống Linux (ví dụ: Home Assistant Supervised trên Debian), hãy cài đặt fail2ban để tự động chặn các IP tấn công: 

# Cài đặt fail2ban
sudo apt install fail2ban

# Tạo tệp /etc/fail2ban/filter.d/hass.conf
[Definition]
failregex = ^%(__prefix_line)s.*Login attempt or request with invalid authentication from <HOST>.*$
ignoreregex =

# Tạo quy tắc trong /etc/fail2ban/jail.d/hass.conf
[hass]
enabled  = true
filter   = hass
logpath  = /config/home-assistant.log
maxretry = 5
bantime  = 3600
findtime = 600

Quy tắc này chặn IP trong 1 giờ sau 5 lần thử đăng nhập không thành công trong 10 phút. Bạn có thể thắt chặt các tham số: tăng bantime lên 86400 (24 giờ) hoặc giảm maxretry xuống 3.

Giám sát hoạt động đáng ngờ

Home Assistant có một nhật ký xác thực tích hợp. Hãy kiểm tra nó thường xuyên qua Cài đặt → Hệ thống → Nhật ký. Tìm các dòng có Login attemptinvalid authentication. Nếu bạn thấy các nỗ lực từ các IP không quen thuộc — đó là tín hiệu rằng HA của bạn đã bị các máy quét phát hiện.

Bạn cũng có thể thiết lập thông báo tự động qua Telegram khi có nỗ lực đăng nhập không thành công. Tạo một tự động hóa trong Home Assistant: 

alias: Thông báo về việc đăng nhập không thành công
trigger:
  - platform: event
    event_type: system_log_event
    event_data:
      level: WARNING
condition:
  - condition: template
    value_template: "{{ 'Login attempt' in trigger.event.data.message }}"
action:
  - service: notify.telegram
    data:
      message: "⚠️ Nỗ lực đăng nhập vào Home Assistant: {{ trigger.event.data.message }}"

Kết luận

Truy cập từ xa an toàn vào Home Assistant không phải là một "tính năng" tùy chọn, mà là điều kiện bắt buộc cho tất cả những ai muốn quản lý ngôi nhà thông minh từ internet. Mở cổng mà không có lớp bảo vệ là một câu hỏi không phải là "liệu có bị hack không", mà là "khi nào sẽ bị hack". Lớp proxy (proxy ngược hoặc đường hầm) thay đổi hoàn toàn bức tranh: kẻ xấu chỉ thấy proxy, chứ không phải máy chủ thực và mạng gia đình của bạn.

Tóm tắt ngắn gọn về việc chọn giải pháp:

  • Mới bắt đầu, muốn đơn giản và nhanh chóng → Nabu Casa hoặc Cloudflare Tunnel
  • Có IP trắng, muốn kiểm soát → Caddy hoặc Nginx như proxy ngược
  • Không có IP trắng, muốn miễn phí → Cloudflare Tunnel + DuckDNS
  • Bảo mật tối đa → VPS + đường hầm WireGuard + proxy ngược

Đừng quên rằng proxy là hàng phòng thủ đầu tiên. Hãy bổ sung nó bằng xác thực hai yếu tố, cập nhật thường xuyên và giám sát nhật ký. Ngôi nhà thông minh cần phải thông minh cả trong vấn đề bảo mật.

Nếu ngoài việc bảo vệ lưu lượng vào, bạn cần ẩn các yêu cầu ra của Home Assistant đến các API bên ngoài hoặc truy cập vào các tích hợp bị giới hạn địa lý, chúng tôi khuyên bạn nên xem xét proxy cư trú — chúng cung cấp các địa chỉ IP nhà thật, không bị chặn bởi các dịch vụ đám mây và nhà cung cấp API.

```