Plex to dominujące oprogramowanie używane do samodzielnego hostowania biblioteki multimediów w systemach Windows, Mac i Linux. Dzięki niemu możesz uzyskać dostęp do swoich filmów, programów i muzyki z dowolnego urządzenia, w dowolnym miejscu. Ale tysiące użytkowników popełnia błąd, który naraża ich serwery i sieci na ataki hakerów.

Więc jaki jest problem z uruchomieniem Plexa? Jak możesz to naprawić? Jak możesz zwiększyć bezpieczeństwo serwera Plex?

Czy Twój serwer Plex jest naprawdę bezpieczny?

Założenie Plex jest proste. Trzymasz w domu dużą bibliotekę multimediów; na komputerze stacjonarnym, Raspberry Pi lub NAS, a dzięki oprogramowaniu serwerowemu Plex możesz korzystać z dedykowanych aplikacji lub przeglądarki, aby pożerać multimedia do treści. Jeśli płacisz za dodatki, takie jak Plex Pass, możesz nawet oglądać i nagrywać transmisję telewizyjną na żywo oraz synchronizować postępy między urządzeniami.

Aby to zrobić, nakazujesz urządzeniom w domu dostęp do portu 32400 na komputerze głównym. Jeśli chcesz korzystać z multimediów poza domem — podczas podróży pociągiem, relaksu lub pracy w kawiarni lub podczas w domu znajomego, na przykład, musisz otworzyć port 32400 na routerze i przekazywać ruch do tego samego portu na swoim PC. Możesz uzyskać dostęp do serwera multimediów Plex z dowolnego miejsca za pomocą swojego.public.ip.address: 32400. Jak dotąd, takie proste.

instagram viewer

Domyślnie ruch sieciowy do indywidualnego adresu IP jest nieszyfrowany. A to może być poważnym problemem.

Dlaczego uruchamianie Plex przez nieszyfrowane połączenie jest niebezpieczne?

Korzystając z nieszyfrowanego połączenia, Twój ruch jest podatny na a Atak Man-in-the-Middle (MITM). Oznacza to, że atakujący może podsłuchiwać ruch sieciowy, wstrzykiwać do niego niechciany kod, a nawet przechwycić nazwy użytkowników i hasła.

Sytuację pogarszają luki w zabezpieczeniach Plex. Są one regularnie łatane przez zespół ds. bezpieczeństwa Plex, a ich szczegóły są udostępniane w Internecie. Niestety, nie wszyscy użytkownicy Plex aktualizują swoje oprogramowanie Plex, a niektórzy użytkownicy mogą nie aktualizować się od lat. Na przykład wersje serwera starsze niż 1.18.2 mają luki, dzięki którym atakujący może przejąć cały system hosta.

Przestępcy i inne zainteresowane strony mają dostęp do narzędzi open source, takich jak Robert David Graham MASSKAN, który może przeskanować cały internet w pięć minut. Ułatwia to identyfikację adresów IP, w których port 32400 jest otwarty.

Dlaczego powinieneś uzyskać dostęp do Plex przez nazwę domeny za pomocą TLS

Większość serwerów w Internecie jest dostępnych przez dwa standardowe porty: 80 dla nieszyfrowanego ruchu HTTP i 443 dla ruchu szyfrowanego przy użyciu protokołu HTTPS (dodatkowe „S” oznacza „Bezpieczny”) i implementacja Transport Layer Security (TLS), który jest odporny na ataki MITM. Jeśli używasz serwera Plex za jednym z tych portów, narzędzie do skanowania portów masowych nie ujawni go potencjalnym atakującym — chociaż oczywiście HTTPS jest lepszy.

Nazwy domen są tanie, a nawet bezpłatne, jeśli wybierzesz dostawcę takiego jak Freenom. Możesz też skonfigurować zwrotny serwer proxy, aby ruch sieciowy do serwera Plex przechodził przez port 443, a port 32400 nigdy nie jest ujawniany.

Jednym ze sposobów na to jest kupienie taniego Raspberry Zero W za 10 dolarów, aby działać jako pośrednik.

Jak używać Raspberry Pi do ochrony serwera Plex?

Pierwszą rzeczą do zrobienia jest wizyta u rejestratora Zaawansowany DNS strona ustawień. Usuń wszystkie rekordy i utwórz nowy A nagrywać. Ustaw hosta na „@”, wartość swojego publicznego adresu IP i jak najniższy TTL.

Teraz zaloguj się do panelu administracyjnego routera. Otwórz porty 80 i 443 i przekieruj oba na lokalny adres IP twojego Raspberry P i Zero. Zamknij port 32400.

Po tym, jak masz zainstalowany system operacyjny Raspberry Pi, posługiwać się bezpieczna powłoka (SSH), aby zalogować się do Raspberry Pi.

ssh pi@twój.pi.lokalny.ip

Zaktualizuj i zaktualizuj wszystkie zainstalowane pakiety:

sudo apt aktualizacja
aktualizacja sudo apt

Zainstaluj serwer Apache:

sudo apt zainstalować Apache2
sudo system ctl początek Apache2
sudo system ctl włączać Apache2

Zainstaluj Certbota — narzędzie, które będzie pobierać i zarządzać zarówno zabezpieczeniami certyfikaty i klucze z Let's Encrypt, usługa, która konfiguruje certyfikaty SSL.

sudo add-apt-repository ppa: certbot/certbot
sudo apt aktualizacja
sudo apt-Dostawać zainstaluj python3-certbot-apache

Zmień katalog i użyj nano edytor tekstu, aby utworzyć nowy plik konfiguracyjny Apache, aby przekazać wszystkie żądania nowej nazwy domeny do komputera, na którym znajduje się serwer Plex:

sudonanopleksi.conf

Zostanie wyświetlony pusty plik tekstowy. Wklej w następujący sposób:

<Wirtualny Host *:80>
Nazwa serweranazwa-domeny.tld
ProxyPreserveHost włączony
ProxyPass / http://Twój.serwer.plex.lokalny.ip: 32400/
RewriteEngine włączony
Przepisz Warunek %{HTTP:Aktualizacja} gniazdo sieciowe[NK]
Przepisz Warunek %{HTTP:Połączenie} Aktualizacja[NK]
</VirtualHost>

Zapisz i wyjdź z nano za pomocą Ctrl + O następnie Ctrl + X.

Włącz konfigurację i uruchom ponownie Apache:

sudoa2ensitepleksi.conf
usługa sudo restart apache2

Uruchom certbota, aby pobrać certyfikaty i klucze SSL z Let's Encrypt:

sudo certbot

Wprowadź swój adres e-mail, gdy zostaniesz o to poproszony i zaakceptuj warunki, a następnie wybierz nazwę swojej domeny z listy i naciśnij Enter.

Certbot ponownie pobierze i wdroży certyfikaty bezpieczeństwa i klucze z Let's Encrypt. Zrestartuj Apache jeszcze raz.

Wyloguj się z Raspberry Pi Zero:

Wyjście

Postępując zgodnie z tymi instrukcjami, udało Ci się zamknąć port 32400 i ukryć istnienie serwera Plex przed skanerami portów - zapewniając jednocześnie, że nadal możesz uzyskać do niego dostęp przy użyciu niestandardowej nazwy domeny. Cały ruch do Twojego serwera Plex będzie szyfrowany i chroniony za pomocą TLS, co oznacza, że ​​możesz się zrelaksować i cieszyć najnowsze odcinki House of the Dragon bez martwienia się o to, kto próbuje włamać się do Twojej sieci.