Plex est le logiciel dominant utilisé pour auto-héberger une bibliothèque multimédia sur Windows, Mac et Linux. Avec lui, vous pouvez accéder à vos films, émissions et musiques depuis n'importe quel appareil, n'importe où. Mais des milliers d'utilisateurs commettent une erreur qui rend leurs serveurs et leurs réseaux vulnérables aux pirates.
Alors, quel est le problème avec l'exécution de Plex? Comment pouvez-vous le réparer? Comment rendre votre serveur Plex plus sécurisé ?
Votre serveur Plex est-il vraiment sécurisé ?
Le principe de Plex est simple. Vous conservez une grande médiathèque chez vous; que ce soit sur un PC de bureau, un Raspberry Pi ou un NAS, et avec le logiciel serveur Plex, vous pouvez utiliser des applications dédiées ou un navigateur pour engloutir les médias à votre guise. Si vous payez pour des extras tels que le Plex Pass, vous pouvez même regarder et enregistrer des émissions de télévision en direct et synchroniser les progrès sur tous les appareils.
Pour ce faire, vous dirigez les appareils de votre domicile pour accéder au port 32400 sur la machine hôte. Si vous souhaitez consommer des médias lors de vos déplacements - en voyageant dans le train, en vous relaxant ou en travaillant dans un café, ou en chez un ami, par exemple, vous devez ouvrir le port 32400 sur votre routeur et transférer le trafic vers ce même port sur votre PC. Vous pouvez accéder à votre serveur multimédia Plex de n'importe où avec votre adresse IP publique: 32400. Jusqu'ici, si simple.
Par défaut, le trafic réseau vers une adresse IP individuelle n'est pas chiffré. Et cela peut être un problème majeur.
Pourquoi est-il dangereux d'exécuter Plex sur une connexion non cryptée ?
En utilisant une connexion non cryptée, votre trafic est vulnérable à un Attaque de l'homme du milieu (MITM). Cela signifie qu'un attaquant peut espionner votre trafic réseau, injecter du code indésirable dans votre trafic et même intercepter les noms d'utilisateur et les mots de passe.
La situation est exacerbée par les failles de sécurité de Plex. Ceux-ci sont régulièrement corrigés par l'équipe de sécurité Plex et leurs détails sont divulgués sur Internet au sens large. Malheureusement, tous les utilisateurs de Plex ne maintiennent pas leur logiciel Plex à jour, et certains utilisateurs peuvent ne pas avoir mis à jour depuis des années. Les versions de serveur antérieures à 1.18.2, par exemple, présentent des vulnérabilités grâce auxquelles un attaquant peut prendre le contrôle de l'ensemble de votre système hôte.
Les criminels et autres parties intéressées ont accès à des outils open source, tels que le logiciel de Robert David Graham MASSCAN, qui peut analyser l'ensemble d'Internet en cinq minutes. Cela facilite l'identification des adresses IP où le port 32400 est ouvert.
Pourquoi devriez-vous accéder à Plex via un nom de domaine avec TLS
La plupart des serveurs sur Internet sont accessibles via deux ports standard: 80 pour le trafic HTTP non crypté et 443 pour le trafic crypté, en utilisant HTTPS (le "S" supplémentaire signifie "Sécurisé"). et mise en œuvre de Transport Layer Security (TLS), qui est immunisé contre les attaques MITM. Si vous utilisez un serveur Plex derrière l'un de ces ports, un outil d'analyse de ports de masse ne le révélera pas aux attaquants potentiels, même si, évidemment, HTTPS est préférable.
Les noms de domaine sont bon marché, voire gratuits si vous choisissez un fournisseur tel que Freenom. Et vous pouvez configurer un proxy inverse afin que le trafic Web vers votre serveur Plex passe par le port 443 et que le port 32400 ne soit jamais exposé.
Une façon de faire est d'acheter un Raspberry Zero W bon marché à 10 $ pour servir d'intermédiaire.
Comment utiliser un Raspberry Pi pour protéger votre serveur Plex
La première chose à faire est de visiter le bureau de votre registraire DNS avancé page des paramètres. Supprimer tous les enregistrements et créer un nouveau UN enregistrement. Définissez l'hôte sur "@", la valeur sur votre adresse IP publique et le TTL aussi bas que possible.
Maintenant, connectez-vous au panneau d'administration de votre routeur. Ouvrez les ports 80 et 443 et transférez les deux à l'adresse IP locale de votre Raspberry P i Zero. Fermez le port 32400.
Après avoir système d'exploitation Raspberry Pi installé, utilisation Enveloppe de protection (SSH) pour vous connecter à votre Raspberry Pi.
ssh pi@ton.pi.local.ipMettez à jour et mettez à niveau tous les packages installés :
sudo apt mettre à jour
mise à niveau sudo aptInstallez le serveur Apache :
sudo apt installer Apache2
sudo systemctl début apache2
sudo systemctl activer apache2Installez Certbot, un outil qui récupérera et gérera à la fois la sécurité certificats et clés de Let's Encrypt, un service qui configure les certificats SSL.
sudo add-apt-repository ppa: certbot/certbot
sudo apt mettre à jour
sudo apt-obtenir installer python3-certbot-apacheChangez de répertoire et utilisez le nano éditeur de texte pour créer un nouveau fichier de configuration Apache afin de transmettre toutes les demandes de votre nouveau nom de domaine à la machine qui héberge le serveur Plex :
sudonanocomplexe.confUn fichier texte vierge vous sera présenté. Collez ce qui suit :
<Hôte virtuel *: 80>
Nom du serveurvotre-nom-de-domaine.tld
ProxyPreserveHost activé
ProxyPass / http ://votre.plex.server.ip.local: 32400/
RewriteEngine activé
RewriteCond %{HTTP:Mise à niveau} WebSocket[NC]
RewriteCond %{HTTP:Lien} mise à niveau[NC]
</VirtualHost>Enregistrez et quittez nano avec Ctrl + O alors Ctrl + X.
Activez la configuration et redémarrez Apache :
sudoa2ensitecomplexe.conf
redémarrage du service sudo apache2Exécutez certbot pour récupérer les certificats SSL et les clés de Let's Encrypt :
certbot sudoEntrez votre adresse e-mail lorsque vous y êtes invité et acceptez les termes et conditions, puis sélectionnez votre nom de domaine dans une liste et appuyez sur retour.
Certbot récupérera et déploiera à nouveau les certificats de sécurité et les clés de Let's Encrypt. Redémarrez Apache une fois de plus.
Déconnectez-vous de votre Raspberry Pi Zero :
sortirEn suivant ces instructions, vous avez réussi à fermer le port 32400 et à masquer l'existence de votre serveur Plex aux analyseurs de port, tout en vous assurant que vous pouvez toujours y accéder en utilisant votre nom de domaine personnalisé. Tout le trafic vers votre serveur Plex sera crypté et protégé avec TLS, ce qui signifie que vous pourrez vous détendre et profiter du derniers épisodes de House of The Dragon sans avoir à vous soucier de savoir qui essaie de s'introduire dans votre réseau.
