Plex è il software dominante utilizzato per ospitare autonomamente una libreria multimediale su Windows, Mac e Linux. Con esso, puoi accedere ai tuoi film, programmi e musica da qualsiasi dispositivo, ovunque. Ma migliaia di utenti stanno commettendo un errore che rende i loro server e le loro reti vulnerabili agli hacker.
Quindi qual è il problema con l'esecuzione di Plex? Come puoi risolverlo? Come puoi rendere più sicuro il tuo server Plex?
Il tuo server Plex è davvero sicuro?
La premessa di Plex è semplice. Mantieni una grande libreria multimediale a casa; su un PC desktop, un Raspberry Pi o un NAS e con il software del server Plex, puoi utilizzare app dedicate o un browser per ingoiare i contenuti multimediali a tuo piacimento. Se paghi per extra come Plex Pass, puoi persino guardare e registrare la trasmissione TV in diretta e sincronizzare i progressi su tutti i dispositivi.
Per fare ciò, devi indirizzare i dispositivi nella tua casa ad accedere alla porta 32400 sul computer host. Se vuoi consumare contenuti multimediali mentre sei in giro, mentre viaggi in treno, ti rilassi o lavori in un bar o mentre a casa di un amico, ad esempio, devi aprire la porta 32400 sul tuo router e inoltrare il traffico a quella stessa porta sul tuo PC. Puoi accedere al tuo media server Plex da qualsiasi luogo con il tuo indirizzo.ip.pubblico: 32400. Finora, così semplice.
Per impostazione predefinita, il traffico di rete verso un singolo indirizzo IP non è crittografato. E questo può essere un grosso problema.
Perché è pericoloso eseguire Plex su una connessione non crittografata?
Utilizzando una connessione non crittografata, il tuo traffico è vulnerabile a Attacco Man-in-the-Middle (MITM).. Ciò significa che un utente malintenzionato può spiare il traffico di rete, iniettare codice indesiderato nel traffico e persino intercettare nomi utente e password.
La situazione è esacerbata dalle vulnerabilità di sicurezza in Plex. Questi vengono regolarmente aggiornati dal team di sicurezza di Plex e i loro dettagli divulgati su Internet in generale. Sfortunatamente, non tutti gli utenti Plex mantengono aggiornato il loro software Plex e alcuni utenti potrebbero non aggiornarsi da anni. Le versioni del server precedenti alla 1.18.2, ad esempio, presentano vulnerabilità attraverso le quali un utente malintenzionato può impossessarsi dell'intero sistema host.
I criminali e le altre parti interessate hanno accesso a strumenti open source, come quello di Robert David Graham MASSCANO, che può scansionare l'intera Internet in cinque minuti. Ciò semplifica l'identificazione degli indirizzi IP in cui la porta 32400 è aperta.
Perché dovresti accedere a Plex tramite un nome di dominio con TLS
Alla maggior parte dei server su Internet si accede tramite due porte standard: 80 per il traffico HTTP non crittografato e 443 per il traffico crittografato, utilizzando HTTPS (la "S" in più significa "Sicuro") e implementazione della Transport Layer Security (TLS), che è immune agli attacchi MITM. Se stai eseguendo un server Plex dietro una di queste porte, uno strumento di scansione delle porte di massa non lo rivelerà a potenziali aggressori, anche se, ovviamente, HTTPS è migliore.
I nomi di dominio sono economici o addirittura gratuiti se scegli un provider come Freenom. E puoi configurare un proxy inverso in modo che il traffico web verso il tuo server Plex passi attraverso la porta 443 e la porta 32400 non sia mai esposta.
Un modo per farlo è acquistare un Raspberry Zero W economico da $ 10 per fungere da intermediario.
Come utilizzare un Raspberry Pi per proteggere il tuo server Plex
La prima cosa da fare è visitare il tuo registrar DNS avanzato pagina delle impostazioni. Elimina tutti i record e creane uno nuovo UN disco. Imposta l'host su "@", il valore del tuo indirizzo IP pubblico e il TTL il più basso possibile.
Ora accedi al pannello di amministrazione del tuo router. Apri le porte 80 e 443 e inoltra entrambe all'indirizzo IP locale del tuo Raspberry P i Zero. Chiudere la porta 32400.
Dopo che hai installato il sistema operativo Raspberry Pi, uso guscio sicuro (SSH) per accedere al tuo Raspberry Pi.
ssh pi@tuo.pi.ip.localeAggiorna e aggiorna tutti i pacchetti installati:
sudo apt aggiornare
sudo apt aggiornamentoInstalla il server Apache:
sudo apt installare Apache2
sudo systemctl inizio apache2
sudo systemctl abilitare apache2Installa Certbot, uno strumento che recupererà e gestirà sia la sicurezza certificati e chiavi da Let's Encrypt, un servizio che imposta certificati SSL.
sudo add-apt-repository ppa: certbot/certbot
sudo apt aggiornare
sudo apt-ottenere installa python3-certbot-apacheCambia directory e usa il file nano editor di testo per creare un nuovo file di configurazione di Apache per inoltrare tutte le richieste per il tuo nuovo nome di dominio alla macchina che ospita il server Plex:
sudonanoplesso.confTi verrà presentato un file di testo vuoto. Incolla quanto segue:
<Host virtuale *:80>
Nome del serveril tuo nome di dominio.tld
ProxyPreserveHost attivato
ProxyPass / http://il tuo.ip.plex.server.local.: 32400/
RewriteEngine attivato
RiscriviCond %{HTTP:Aggiornamento} presa web[NC]
RiscriviCond %{HTTP:Connessione} aggiornamento[NC]
</VirtualHost>Salva ed esci da nano con CTRL+O poi CTRL+X.
Abilita la configurazione e riavvia Apache:
sudoa2ensiteplesso.conf
sudo servizio apache2 riavvioEsegui certbot per acquisire certificati e chiavi SSL da Let's Encrypt:
sudo certbotInserisci il tuo indirizzo e-mail quando richiesto e accetta i termini e le condizioni, quindi seleziona il tuo nome di dominio da un elenco di uno e premi Invio.
Certbot recupererà e distribuirà nuovamente certificati e chiavi di sicurezza da Let's Encrypt. Riavvia Apache ancora una volta.
Esci dal tuo Raspberry Pi Zero:
UscitaSeguendo queste istruzioni, sei riuscito a chiudere la porta 32400 e nascondere l'esistenza del tuo server Plex dai port scanner, assicurandoti al contempo di potervi accedere utilizzando il tuo nome di dominio personalizzato. Tutto il traffico verso il tuo server Plex sarà crittografato e protetto con TLS, il che significa che puoi rilassarti e goderti il ultimi episodi di House of The Dragon senza doversi preoccupare di chi sta cercando di entrare nella tua rete.
