Mich würde interessieren, wie sicher mein Plex-Server eigentlich ist? Er ist aus dem Internet erreichbar, wenn man E-Mail + Kennwort kennt bzw. mit einem zugelassen Gerät anmeldet. Aber wie sieht es sonst aus? Ist es sicher? Hätte der Plex-Kundenservice Zugriff auf meinen Server? Kann man sich Zugriff verschaffen? Was kann man selbst - für die Sicherheit - beitragen?
Die Antwort auf deine Frage ist wahrscheinlich zu komplex um sie in 2-3 Sätzen zu beantworten und hängt von unendlich vielen Faktoren ab. Wenn dein Server zb alle ports offen hat (und oder ohne Firewall frei im Netz hängt), dann ist das (auch ohne plex) eine Einladung. Bei Linux Servern mindestens ufw nutzen. Zugriff kann sich der Kundenservice höchstens über backdoors verschaffen, was aber bei einem Produkt wie plex eher unplausibel erscheint. “Zugriff” wahrscheinlich auch nur auf die library ohne content
Ich würde mir bei einem im Netz freistehenden Server weniger Sorgen über Plex als Angriffstrajektorie machen. Vielmehr um den Server generell (siehe oben).
Um Schaden abzuwenden könntest du 2FA nutzen. Alle ports dicht machen (außer die von Dir benutzen), reverse proxy nutzen anstatt clear IP… oder steckst den Server in ein (virtuelles) LAN, dass du von außen nur über VPN erreichen kannst. Für zu Hause hieße das: KEIN Portfowarding (UPnP) am Router (Risiko), sondern nur via VPN ins heimische LAN und dann über VPN streamen. Dann ist der Server nur lokal verfügbar und weltweit nur via VPN. Voraussetzung hier natürlich, dass du das VPN sicher eingerichtet hast.
Im Falle eines Server außer Haus (zb dedicated Server in einem RZ) idealerweise ebenfalls nur via VPN erreichbar machen (siehe oben Stichwort virtual LAN). Dazu musst du dann eben noch zb ein OpenVPN Server einrichten.
Ich habe meinen Server zu Hause nicht aus dem Netz verfügbar/erreichbar gemacht. Kommt man nicht ohne weiteres drauf. Ich will aber auch keine 4k remuxe von meinem heimischen Server streamen (abgesehen davon, dass 1 GBit down- und 100 mbit upstream dafür nicht reichen würden).
Meinen externen dedicated Server erreiche ich für plex nur via VPN.
Und selbst bei diesem ganzen Thema findest du problemlos zig Angriffspunkte.
1 Like
Während die Argumente sicher nicht falsch sind und für den entsprechenden Use Case helfen, sollte ein vernünftiger Standard-Setup es auch tun…
- unbedingt 2FA!
- manueller Port Forward (bin generell kein Freund von UPnP)
- sichere Verbindungen bevorzugen
- den Server nicht in die DMZ des Routers stellen
- grundsätzliche Account-Hygiene, z.B. Account/Passwort o.ä. nicht teilen
Ganz wichtig, wie TobyX geschrieben hat: Sicherheit fängt nicht bei Plex sondern dem darunter liegenden Server an. Wenn der wacklig ist oder frei in deinem Heimnetz agieren kann, wird aus einem möglichen kleinen Security-Issue schnell etwas deutlich größeres. Es kommt bspw. immer wieder vor, dass User sich 3rd Party Tools installieren und die nicht dicht machen… dann steht der Server sperrangelweit offen (kommt bspw. mit Tautulli vor, das einen Plex-Token braucht, um auf deinen Server zuzugreifen – wenn die App ungesichert außerhalb deines Heimnetzes verfügbar gemacht wird, hat ein Angreifer direkt den Haustürschlüssel zu deinem Server)
Plex hat nach eigener Aussage keinen Zugriff auf deine Daten (jenseits deiner Account-Einstellungen, die bei Plex gespeichert sind) – habe keinen Grund das anzuzweifeln.
1 Like
Kann ich mit Windows 10 folgendes realisieren?
Nur bestimmte IP-Adresse (Alle Lokal + ein paar Externe) zulassen, die auf den Plex-Port zugreifen möchten? Wenn ja, wie mache ich das?
Ich habe es mal so gemacht.
Was denkt ihr? Habe ich den Server damit etwas sicherer gemacht?
Es sind 2x externe IP-Adresse eingetragen.
Leider funktioniert es nicht wie gewünscht.
Läuft dein Router unter Windows?
Wenn nicht, mache alle deine Änderungen in der Windows Firewall rückgängig.
Die vorgefertigten Regeln auf der Server Maschine sind adäquat.
Einschränkungen auf (Quell-)Portnummern funktioniert nicht, da diese sich immer ändern.
Gleiches gilt für die IP Adressen der Clients. Es gibt im Privatbereich quasi keine statischen IP Adressen mehr. Diese ändern sich ständig, bei DSL und Kabel Anschlüssen seltener, bei Mobilfunk Zugängen häufiger.
Während meiner Zeit mit Plex sind mir keine Hacks eines Plex Servers bekannt geworden, wo sich der Angreifer ausschließlich über den “exposed port” 32400 Zugang verschafft hätte. Der Weg ging praktisch immer über irgendwelche zusätzlichen Komponenten, wie z.B. das oben genannte Tautulli (ältere Versionen davon, die aktuellen sind nicht mehr so leicht auszunutzen), oder die “Cloud” Dienste diverser NAS-Hersteller.
Ich habe eine FritzBox (neueres Modell).
Mein Plex-Server muss leider auf meinem Windows-PC laufen.
Wie ist das denn mit der 2FA-Überprüfung? Wenn ich die Option jetzt einschalte, werden dann alle zugelassenen Geräte wieder gelöscht?
Niemand von meinen Leuten kennt meine E-Mail oder dass Passwort. Es hat auch niemand einen Plex-Account. Wir machen es immer so, dass wir Plex installieren, ein Code angezeigt wird, den ich dann unter einen Link aktiviere.
PS: Sorry für Doppelpost. Kommt nicht mehr vor.
Wg. 2FA: ist schon ein Weilchen her. Soweit ich mich erinnere kannst du bei der Aktivierung entscheiden, ob du alle Geräte, die unter deiner Kennung laufen, abmelden willst. Wenn du das machst solltest du daran denken, dass du damit auch deinen Server abmeldest und nochmal neu mit deiner Kennung verknüpfen musst (wird gerne übersehen).
Grundsätzlich kannst du in deinen Account-Einstellungen prüfen, welche Geräte angemeldet sind und wann sie zuletzt zugegriffen haben… das finde ich üblicherweise die schmerzärmere Variante 
Das ist die schlechteste Variante überhaupt. Damit werden alle Geräte deiner Mitbenutzer mit deinem eigenen plex.tv Konto verbunden.
Mal davon abgesehen, dass damit sämtliche “gespielt”/“ungespielt” Informationen zwischen allen Personen geteilt werden
so erleichtert es vor allem ein Hacking deines Plex-Kontos.
Es braucht nur eines der vielen unterschiedlichen Geräte gestohlen oder über einen anderen Weg kompromittiert zu werden.
Wenn sich der Angreifer Zugriff auf das im Client gespeicherte Zugriffs-Token verschaffen kann, hat er Zugriff auf dein plex Konto.
Wenn jeder deiner Benutzer ein eigenes plex.tv Konto hat, beschränkt sich dieses Risiko auf deine eigenen Geräte.
(Mal ganz abgesehen von der “Gespielt/ungespielt”-Problematik.)
Wer seine Accounts Sicher haben will sollte umbedingt 2FA aktivieren, überall.
2FA sichert den Account gegen unberechtigte zugriffe, wird als 2er Faktor verwendet. Nach der eingabe des User und dem Passwort wird ein 6 Stelliger Code abgefragt, der sich alle 60 Sekunden ändert. Ohne dem Code kein Zugang zum Konto, das Konto selbst wird nicht geädert, nur der Anmeldeprozess erweitert.
Der Code wird über eine zusätliche App erstellt, z.B. viele Passwortmanager bringen das mit oder man verwendet Google Autenticator, Authy oder Windows Authenticator.
Ich würde überall 2FA aktivieren, wo es geht, Amazon, Google, Apple Twitter usw. und nartürlich Plex.
Zum Thema Sinn und Unsinn eines VPN empfehle ich wärmstens diesen Beitrag, sofern dein Englisch-Verständnis flüssig genug ist: This Video Is Sponsored By ███ VPN - YouTube
Das ist die schlechteste Variante überhaupt.
Das hätte ich jetzt nicht gedacht. 
Ich habe 4 Profile angelegt und alle mit einem Pin (leider nur 4-Stellig) versehen, um eben die Problematik mit dem gespielt/ungespielt zu entgehen.
- Profil = Admin
- bis 4. Profil = Kein Admin
Wenn ich mich mit so einem Profil anmelde, kann ich keine Einstellung entdecken, womit man Schaden anrichten könnte. Man sieht nicht einmal sensible Daten wie z.B. die E-Mail-Adresse und ich kann das Gerät jederzeit vom Account kicken.
Die einzige offensichtliche Schwachstelle, die ich sehe, sind die 4-Stelligen Pins.
Exakt. Daher sollte man solche “verwalteten Benutzer” auch nur für Personen anlegen, die Mitglieder des eigenen Haushaltes sind.
Die 2 Personen, die Zugriff auf meine Sachen haben, sind so unbedarft, dass sie es nicht einmal geschafft haben, sich einen Plex-Account zu erstellen und meiner Einladung zu folgen. 
Besser wäre die Möglichkeit komplexere Pins zu vergeben, ein Timeout hinzuzufügen und das ganze auch noch zu loggen.
Alternativ das Admin-Konto verstecken, wenn man nicht als Admin eingeloggt ist.
Du kannst das für diese Benutzer verwalten. Dafür ist z.B. ein Email-Konto was Aliase zulässt nützlich Send emails from a different address or alias - Gmail Help um jedem Nutzer eine individuelle Adresse zuweisen zu können, ohne mit X “echten” Konten hantieren zu müssen.
Denke nur daran, wenn du dich mal mit deren Konto einloggen willst, den “Privat”/“Incognito” Modus beines Browsers zu nutzen.
Ich glaube, da haben wir aneinander vorbei gesprochen. Sorry, wenn ich mich da unglücklich ausgedrückt habe.
Mir ging es nicht um VPN Provider die vorgeben nicht zu loggen oder sonstige Schwachstellen haben. Solche VPN Provider bringen höchstens in Verbindung mit Plex etwas, wenn dein Server irgendwo steht, wohin das Routing/Peering deines ISPs eher schlecht ist. Wenn der VPN Provider ein besseres Routing hat, hast du dadurch einen Vorteil. Das ist ja aber ein ganz anderes Thema.
Ich meine, dass du dein eigenes LAN von außerhalb nicht über Portfowarding erreichst, sondern via VPN. Wenn du zu Hause ne fritzbox hast, dann deren service (wenn man AVM vertraut). Ist glaub ich ipsec based. Oder bei nem dedizierten Server im Rechenzentrum stellst du dein Plexserver in ein virtuelles LAN welches du von außen nur über einen eignen VPN erreichst. Zb ist im v-lan auch der dazugehörige OpenVPN access Server gehosted zu dem du dich verbindest.
Dieses Thema bringt aber eigentlich nichts wenn du 4k Filme streamen willst von externen, wenn dein Plexserver zu hause steht. Da brauchst du einen entsprechenden upstream, den die wenigsten haben dürften. Ein solches Szenario ist eher interessant für Personen deren Server in Rechenzentren stehen und die von überall her streamen wollen.
This topic was automatically closed 90 days after the last reply. New replies are no longer allowed.
