Plex is de dominante software die wordt gebruikt om zelf een mediabibliotheek te hosten op Windows, Mac en Linux. Hiermee heb je overal en vanaf elk apparaat toegang tot je films, shows en muziek. Maar duizenden gebruikers maken een fout waardoor hun servers en netwerken kwetsbaar zijn voor hackers.
Dus wat is het probleem met het uitvoeren van Plex? Hoe kun je het repareren? Hoe kunt u uw Plex-server veiliger maken?
Is uw Plex-server echt veilig?
Het uitgangspunt van Plex is eenvoudig. Je houdt een grote mediatheek thuis; ofwel op een desktop-pc, een Raspberry Pi of een NAS, en met de Plex-serversoftware kun je speciale apps of een browser gebruiken om naar hartenlust media te slurpen. Als u betaalt voor extra's zoals de Plex Pass, kunt u zelfs live tv-uitzendingen bekijken en opnemen en de voortgang op verschillende apparaten synchroniseren.
Om dit te doen, stuurt u de apparaten in uw huis naar poort 32400 op de hostcomputer. Als u onderweg media wilt consumeren - terwijl u in de trein reist, ontspant of werkt in een coffeeshop, of terwijl u in het huis van een vriend, bijvoorbeeld, moet u poort 32400 op uw router openen en verkeer doorsturen naar diezelfde poort op uw pc. U hebt overal toegang tot uw Plex-mediaserver met uw.public.ip.address: 32400. Tot zover, zo simpel.
Standaard is het netwerkverkeer naar een individueel IP-adres niet versleuteld. En dat kan een groot probleem zijn.
Waarom is het gevaarlijk om Plex via een niet-versleutelde verbinding uit te voeren?
Door een niet-versleutelde verbinding te gebruiken, is uw verkeer kwetsbaar voor a Man-in-the-Middle-aanval (MITM). Dit betekent dat een aanvaller in uw netwerkverkeer kan snuffelen, ongewenste code in uw verkeer kan injecteren en zelfs gebruikersnamen en wachtwoorden kan onderscheppen.
De situatie wordt verergerd door beveiligingsproblemen in Plex. Deze worden regelmatig gepatcht door het Plex-beveiligingsteam en hun details worden op internet in het algemeen bekendgemaakt. Helaas houden niet alle Plex-gebruikers hun Plex-software up-to-date, en sommige gebruikers zijn mogelijk al jaren niet meer geüpdatet. Serverversies ouder dan 1.18.2 hebben bijvoorbeeld kwetsbaarheden waardoor een aanvaller je hele hostsysteem kan overnemen.
Criminelen en andere geïnteresseerden hebben toegang tot open source-tools, zoals die van Robert David Graham MASSCAN, die in vijf minuten het hele internet kan scannen. Dit maakt het gemakkelijk om IP-adressen te identificeren waar poort 32400 open is.
Waarom u toegang zou moeten krijgen tot Plex via een domeinnaam met TLS
De meeste servers op internet zijn toegankelijk via twee standaardpoorten: 80 voor niet-versleuteld HTTP-verkeer en 443 voor versleuteld verkeer, via HTTPS (de extra "S" betekent "Veilig") en implementatie van Transport Layer Security (TLS), die immuun is voor MITM-aanvallen. Als je een Plex-server achter een van deze poorten gebruikt, zal een tool voor het scannen van massale poorten dit niet onthullen aan potentiële aanvallers, hoewel HTTPS natuurlijk beter is.
Domeinnamen zijn goedkoop, of zelfs gratis als je kiest voor een provider als Freenom. En u kunt een reverse proxy configureren zodat webverkeer naar uw Plex-server via poort 443 gaat en poort 32400 nooit wordt blootgesteld.
Een manier om dit te doen is door een goedkope Raspberry Zero W van $ 10 te kopen om als tussenpersoon op te treden.
Hoe u een Raspberry Pi gebruikt om uw Plex-server te beschermen?
Het eerste wat u moet doen, is naar uw registrar gaan Geavanceerde DNS instellingen pagina. Verwijder alle records en maak een nieuwe EEN dossier. Stel de host in op "@", de waarde voor uw openbare IP-adres en de TTL zo laag mogelijk.
Log nu in op het beheerderspaneel van uw router. Open poort 80 en 443 en stuur beide door naar het lokale IP-adres van je Raspberry P i Zero. Sluit poort 32400.
Nadat je hebt geïnstalleerd Raspberry Pi OS, gebruiken veilige shell (SSH) om in te loggen op uw Raspberry Pi.
ssh pi@uw.pi.local.ipUpdate en upgrade alle geïnstalleerde pakketten:
sudo apt update
sudo apt-upgradeApache-server installeren:
sudo apt installeren Apache2
sudo systeemctl begin apache2
sudo systeemctl inschakelen apache2Installeer Certbot—een tool die beide beveiligingen ophaalt en beheert certificaten en sleutels van Let's Encrypt, een dienst die SSL-certificaten instelt.
sudo add-apt-repository ppa: certbot/certbot
sudo apt update
sudo apt-krijgen installeer python3-certbot-apacheVerander de map en gebruik de nano teksteditor om een nieuw Apache-configuratiebestand te maken om alle aanvragen voor uw nieuwe domeinnaam door te sturen naar de machine die de Plex-server host:
sudonanoplexi.confU krijgt een leeg tekstbestand te zien. Plak het volgende in:
<VirtueleHost *:80>
Server naamuw-domeinnaam.tld
ProxyPreserveHost On
ProxyPass / http://uw.plex.server.local.ip: 32400/
Herschrijfmotor aan
HerschrijfCond %{HTTP:Upgrade} websocket[NC]
HerschrijfCond %{HTTP:Verbinding} upgrade[NC]
</VirtualHost>Opslaan en nano afsluiten met Ctrl + O dan Ctrl + X.
Schakel de configuratie in en start Apache opnieuw:
sudoa2ensiteplexi.conf
sudo-service apache2 opnieuw opstartenVoer certbot uit om SSL-certificaten en sleutels van Let's Encrypt te pakken:
sudo certbotVoer uw e-mailadres in wanneer daarom wordt gevraagd en ga akkoord met de algemene voorwaarden, selecteer vervolgens uw domeinnaam uit een lijst van één en druk op Return.
Certbot zal opnieuw beveiligingscertificaten en sleutels van Let's Encrypt ophalen en implementeren. Start Apache nog een keer opnieuw.
Log uit van je Raspberry Pi Zero:
UitgangDoor deze instructies te volgen, bent u erin geslaagd poort 32400 te sluiten en het bestaan van uw Plex-server te verbergen voor poortscanners, terwijl u ervoor zorgt dat u er nog steeds toegang toe hebt met uw aangepaste domeinnaam. Al het verkeer naar uw Plex-server wordt gecodeerd en beschermd met TLS, wat betekent dat u kunt ontspannen en genieten van de laatste afleveringen van House of The Dragon zonder dat u zich zorgen hoeft te maken over wie probeert in te breken in uw netwerk.
