Een plex server met dmz of vlan's

dinsdag 21 april 2020 12:50

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag:
Ik heb thuis een plex server runnen, die direct zit aangesloten op de rest van het netwerk, wat allemaal lekker makkelijk is qua bereikbaarheid en instellingen. Helaas kwam ik tot de bedenking dat het open zetten van de server voor het buitennetwerk misschien niet zo slim is. Ik ben een complete leek (ook na heel wat zelf opzoeken) qua netwerk en routers. Daarom de vraag:
Is het veilig genoeg om een server waar plex op runt zo in de rest van het computer netwerk te laten opereren of moet er echt een vlan/dmz worden opgezet?

Relevante software en hardware die ik gebruik
Plex server (op Freenas)
Een compleet netwerk aan thuis computers
Ziggo modem (TC7210.z)
verder volgens mij geen interessante onderdelen.

Wat ik al gevonden of geprobeerd heb
Ik heb voor zover ik met mijn kennis kon vinden gevonden dat een VLAN of een DMZ kon helpen, maar verder snapte ik er niet veel van...

dinsdag 21 april 2020 14:11

Kasper1985

Plex remote open zetten is opzich geen probleem. Zorg wel dat je de laatste updates gebruikt voor het geval er exploits gevonden worden.

Ik heb zelf ook Plex open staan. Gewoon op de default port.

Overigens met VPN wat totaal niet betekent dat gebruikers buiten ook een VPN moeten gebruiken.

Ik maak gebruik van een VPN server. Deze heeft de plex poort open staan en stuurt al het verkeer op die poort door naar mijn plex server.
Voor gebruikers maakt het dus niet uit. Mocht iemand binnen komen via de plex poort dan zitten ze op die VPN server waar ze vervolgens vrij weinig kunnen door een aantal veiligheids maatregelen. Zo moet om in te loggen op ssh gebruik worden gemaakt van 2fa dmv google authenticator en ook voor iedere sudo handeling staat 2fa authenticatie aan.
Dat is natuurlijk hinderlijk op een server die je dagelijks gebruikt maar deze bak is puur vpn server.
Ik ken freenas niet maar zorg dat je unattended upgrades aan hebt staan voor het automatisch updaten van veiligheids updates.

dinsdag 21 april 2020 13:08

Acties:

+1 Henk 'm!

jimmy87

Kun je definieren wat je bedoelt met de server openzetten voor het buiten netwerk? Heb je alleen de Plex poort openstaan voor buitenaf of de hele server? Indien alleen de plex poort zie ik er geen risico het zo te laten.

dinsdag 21 april 2020 13:14

Acties:

0 Henk 'm!

BUSINESSRA

Topicstarter

Ik heb bij plex remote acces aangezet, waardoor die ook buiten dit netwerk beschikbaar is. Daarbij kreeg ik de opmerking vanuit een andere gebruiker in het netwerk dat hij het niet geheel vertrouwde omdat die bang was dat er virussen konden binnenkomen zodra je dit aan/open zetten.

dinsdag 21 april 2020 13:19

Acties:

+1 Henk 'm!

feelthepower

Is buiten netwerk het internet?

Zo ja een alternatief idee: Je kunt ook onderzoeken of je Plex Remote dicht kunt laten en je een VPN voor je netwerk kunt instellen. Dan moet je vanuit buiten dus met VPN met je netwerk verbinden, maar dan kun je Plex gebruiken alsof je binnen het netwerk zit.

dinsdag 21 april 2020 13:51

Acties:

0 Henk 'm!

BUSINESSRA

Topicstarter

feelthepower schreef op dinsdag 21 april 2020 @ 13:19:
Is buiten netwerk het internet?

Het gaat er om dat mensen (waar ik wel direct contact mee heb) ook mee kunnen kijken. Zodra die zelf allemaal een vpn moeten gaan instellen wordt het voor hun te lastig. Het gaat er daarom om dat ik het zelf wat complexer in elkaar heb zitten thuis, maar voor hun alles hetzelfde blijft (naar plex toe gaan en direct toegang tot de server).

dinsdag 21 april 2020 14:03

Acties:

+1 Henk 'm!

Room42

'Best practice' is inderdaad om apparaten die vanaf het internet (of andere niet-vertrouwde netwerken) bereikbaar zijn in een z.g.n. DMZ te plaatsen. Zo hou je je LAN veilig gesloten.

BUSINESSRA schreef op dinsdag 21 april 2020 @ 13:51:
[...]

Goeie quote.

Fixed

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

dinsdag 21 april 2020 14:06

Acties:

+2 Henk 'm!

Luchtbakker

Elke dag een "beetje" beter

Room42 schreef op dinsdag 21 april 2020 @ 14:03:
'Best practice' is inderdaad om apparaten die vanaf het internet (of andere niet-vertrouwde netwerken) bereikbaar zijn in een z.g.n. DMZ te plaatsen. Zo hou je je LAN veilig gesloten.

[...]

Goeie quote.

Mits je beveiliging op de plex machine niet in orde is. Een consumenten router kent namelijk geen volwaardig DMZ. Je moet dan echt aan minimaal een fritzbox denken wil je een volwaardige DMZ hebben.

EDIT:

Knipwerk wat uitlegd waarom het vaak geen volwaardige DMZ is:

Exposed host
Veel goedkope routers adverteren met DMZ-ondersteuning via een onterecht aangeduide “DMZ-host”. Vaak betekent dit alleen dat een computer in het lokale netwerk kan worden geconfigureerd als exposed host. De upstream-router forwardt alle online aanvragen die niet bij bestaande verbindingen horen. De computer wordt zo bereikbaar voor online gebruikers. Een exposed host biedt echter niet de bescherming van een echte DMZ, omdat hij niet is gescheiden van het LAN. Een DMZ-router als zodanig bestaat dan ook niet.

[ Voor 37% gewijzigd door Luchtbakker op 21-04-2020 14:10 ]

dinsdag 21 april 2020 14:09

Acties:

+1 Henk 'm!

Room42

Luchtbakker schreef op dinsdag 21 april 2020 @ 14:06:
[...]

Mits je beveiliging op de plex machine niet in orde is. Een consumenten router kent namelijk geen volwaardig DMZ. Je moet dan echt aan minimaal een fritzbox denken wil je een volwaardige DMZ hebben.

Mits of tenzij?

De "type" DMZ is inderdaad wel belangrijk om te controleren. Sommige consumentenrouters gooien ook nog eens alle poorten naar die DMZ-host open.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

dinsdag 21 april 2020 14:11

Acties:

Beste antwoord ✓
+1 Henk 'm!

Kasper1985

Plex remote open zetten is opzich geen probleem. Zorg wel dat je de laatste updates gebruikt voor het geval er exploits gevonden worden.

Ik heb zelf ook Plex open staan. Gewoon op de default port.

Overigens met VPN wat totaal niet betekent dat gebruikers buiten ook een VPN moeten gebruiken.

Ik maak gebruik van een VPN server. Deze heeft de plex poort open staan en stuurt al het verkeer op die poort door naar mijn plex server.
Voor gebruikers maakt het dus niet uit. Mocht iemand binnen komen via de plex poort dan zitten ze op die VPN server waar ze vervolgens vrij weinig kunnen door een aantal veiligheids maatregelen. Zo moet om in te loggen op ssh gebruik worden gemaakt van 2fa dmv google authenticator en ook voor iedere sudo handeling staat 2fa authenticatie aan.
Dat is natuurlijk hinderlijk op een server die je dagelijks gebruikt maar deze bak is puur vpn server.
Ik ken freenas niet maar zorg dat je unattended upgrades aan hebt staan voor het automatisch updaten van veiligheids updates.

dinsdag 21 april 2020 14:15

Acties:

+2 Henk 'm!

Luchtbakker

Elke dag een "beetje" beter

Room42 schreef op dinsdag 21 april 2020 @ 14:09:
[...]

Mits of tenzij?

De "type" DMZ is inderdaad wel belangrijk om te controleren. Sommige consumentenrouters gooien ook nog eens alle poorten naar die DMZ-host open.

Sorry, bedoel natuurlijk tenzij.

Consumentenrouters gooien inderdaad default alle poorten open bij DMZ en kennen maar 1 firewall. Een echte DMZ kent een gescheiden firewall.

dinsdag 21 april 2020 14:29

Acties:

0 Henk 'm!

BUSINESSRA

Topicstarter

Kasper1985 schreef op dinsdag 21 april 2020 @ 14:11:

Ik heb zelf ook Plex open staan. Gewoon op de default port.

Overigens met VPN wat totaal niet betekent dat gebruikers buiten ook een VPN moeten gebruiken.

Ik maak gebruik van een VPN server. Deze heeft de plex poort open staan en stuurt al het verkeer op die poort door naar mijn plex server.
Voor gebruikers maakt het dus niet uit. Mocht iemand binnen komen via de plex poort dan zitten ze op die VPN server waar ze vervolgens vrij weinig kunnen door een aantal veiligheids maatregelen. Zo moet om in te loggen op ssh gebruik worden gemaakt van 2fa dmv google authenticator en ook voor iedere sudo handeling staat 2fa authenticatie aan.
Dat is natuurlijk hinderlijk op een server die je dagelijks gebruikt maar deze bak is puur vpn server.
Ik ken freenas niet maar zorg dat je unattended upgrades aan hebt staan voor het automatisch updaten van veiligheids updates.

Heb je zelf dan nog een extra vpn computer staan of is een vpn dienst daarvoor genoeg? Want dit klinkt wel degelijk als een goede oplossing voor dit, aangezien het gewoon gaat om het beschermen van inkomende bedreigingen en niet perse heel veel binnen hoeft te laten.

dinsdag 21 april 2020 19:31

Acties:

0 Henk 'm!

Kasper1985

@BUSINESSRA Ik draai een VPS in de cloud.

Daar draai ik wireguard op met een aantal IPtable regels. Daar is uitsluitend 1 client, mijn thuisserver, mee verbonden.

Ik heb accounts bij 3 cloud providers en wissel dit regelmatig af zodat het IP nooit langer dan een maand actief is.

Belangrijkste voor linux is wat mij betreft die unattended updates voor security en de applicatie (Plex) die je open zet up to date houden.
Uiteraard ook basis dingen zoals plex niet onder root draaien (duh) root uitschakelen voor SSH, geen password maar ssh keys óf ssh keys én password in combinatie met 2fa. Er is een PAM module voor google authenticator.
Verder fail2ban en logs regelmatig checken.
Plex openzetten is opzich niet zo spannend. Mocht je ook dingen gebruiken als sonarr of radarr etc zet die dan niet direct open naar buiten maar gebruik ook een reverse proxy samen met VPN.

dinsdag 21 april 2020 21:11

Acties:

0 Henk 'm!

BUSINESSRA

Topicstarter

Kasper1985 schreef op dinsdag 21 april 2020 @ 19:31:
@BUSINESSRA Ik draai een VPS in de cloud.

Daar draai ik wireguard op met een aantal IPtable regels. Daar is uitsluitend 1 client, mijn thuisserver, mee verbonden.

Ik heb accounts bij 3 cloud providers en wissel dit regelmatig af zodat het IP nooit langer dan een maand actief is.

Belangrijkste voor linux is wat mij betreft die unattended updates voor security en de applicatie (Plex) die je open zet up to date houden.
Uiteraard ook basis dingen zoals plex niet onder root draaien (duh) root uitschakelen voor SSH, geen password maar ssh keys óf ssh keys én password in combinatie met 2fa. Er is een PAM module voor google authenticator.
Verder fail2ban en logs regelmatig checken.
Plex openzetten is opzich niet zo spannend. Mocht je ook dingen gebruiken als sonarr of radarr etc zet die dan niet direct open naar buiten maar gebruik ook een reverse proxy samen met VPN.

Bedankt. Ik ga eens kijken wat ik daar allemaal van mogelijk kan maken.

dinsdag 21 april 2020 21:38

Acties:

+1 Henk 'm!

Kasper1985

@BUSINESSRA Als je vragen hebt laat maar weten.

Ik stuitte laatst op een geinig github projectje. “Wireguard dashboard” waarmee het een fluitje van een cent wordt om wireguard op te zetten en te onderhouden. Alleen iptable regels moet je dan zelf nog toevoegen.

Maar ik raad aan het eerst een keer handmatig te doen. Leuk en leerzaam.

Vraag

Beste antwoord (via BUSINESSRA op 21-04-2020 15:54)

Alle reacties

Exposed host