[TUTO] Configurer un reverse proxy pour Emby, sur Ubuntu

[neves000 15]

Pour conclure je dirais qu'Emby devrait pouvoir permettre de configurer plus finement les options SSL, pour qu'on puisse choisir nous même les protocoles autorisés, permettre d'autoriser ou non les certificats auto-signés, voire ajouter notre propre CA (j'utilise une CA interne pour tous mes périphériques). Et être plus verbeux sur les messages d'erreur de connexion au niveau des clients !

J'ajouterais aussi ce tutorial pour un reverse proxy avec nginx, qui ne fait pas que transférer la connexion mais ajoute des options de sécurité (options et protocoles SSL, SSL pinning, headers HTTP, etc.) :

À adapter pour ce tutorial Apache

Edited November 15, 2021 by neves000

[Randdrick 24]

7 hours ago, neves000 said:

Pour conclure je dirais qu'Emby devrait pouvoir permettre de configurer plus finement les options SSL, pour qu'on puisse choisir nous même les protocoles autorisés, permettre d'autoriser ou non les certificats auto-signés, voire ajouter notre propre CA (j'utilise une CA interne pour tous mes périphériques). Et être plus verbeux sur les messages d'erreur de connexion au niveau des clients !

8 hours ago, neves000 said:

Le client Emby sur la TV n'accepte pas un certificat self signé (si c'est le cas) et ne remonte pas l'erreur. < ça a l'air d'être le problème chez moi.

En tout cas chez moi, ce n'étais pas ce problème car mon certificat n'était pas auto-signé. C'est un certificat généré à partir le Let'Encrypt que j'ai juste converti au format PKCS #12

8 hours ago, neves000 said:

Le client Emby sur la TV ne comprend pas les protocoles SSL supportés par le serveur Emby et ne remonte pas l'erreur.

Pourquoi pas, mais pourquoi alors ma TV fonctionne sans problème avec le reverse proxy ? Son client Emby est bien configuré comme suit :

https://monserveuremby.ddns.net - Port : laissé vide

Et ça ne lui pose aucun problème. 

8 hours ago, neves000 said:

Quelque chose qui m'échappe

A moi aussi. Soit le port 8920 est fermé en sortie sur certaines TV, mais cela n'a pas de sens.  
Ou alors, leurs communications sécurisées sont forcées sur le port 443. Mais cela n'a pas plus de sens car pourquoi un constructeur mettrait une telle règle en place ? 

A tester : mettre une redirection du port 443 vers le 8920 et voir si ça passe.

8 hours ago, neves000 said:

Le jour où une vulnérabilité tombe dans Emby, la première chose que va faire un attaquant c'est sortir son scan des ports 8096 (et 8920) et y ajouter les 23000 Emby qu'on trouve sur shodan sur les ports 80/443.

En fait, quand lit bien bien ce qui est remonté sur Shodan, c'est 27299 serveur Emby exposés. Les ports les plus exposés sont ci-dessous. Tu as quand même plus de 13000 personnes qui ont ouvert le port 8096 sur le box (ou autre) pour avoir accès à leur serveur Emby de l'extérieur... Impressionnant. Mais bon.
D'ailleurs, il est intéressant de constater que le port 443 ne fait pas parti de la liste du top 5 des ports les plus exposés. Ni même Apache d'ailleurs 

8 hours ago, neves000 said:

Ce que je veux mettre en avant, c'est qu'il faut arrêter de croire que quelque chose est sécurisé uniquement parce que ça passe dans un tunnel SSL. Le fameux "c'est sécurisé parce qu'il y a un cadenas dans la barre en haut du navigateur"

Oui je suis d'accord avec toi. La sécurité ne se résume pas à un cadenas dans une barre d'URL.

 

Edited November 15, 2021 by Randdrick

[neves000 15]

Quelques nouveaux tests :

Emby 4.6.4.0 écoute en SSL sur le port 8920 avec un certificat signé par ma propre CA. Cette CA n'est pas dans le store de ma TV ou de mon smartphone. C'est donc l'équivalent d'un certificat auto-signé.

Aucun problème pour me connecter en HTTPS sur Emby avec mon navigateur Web (Emby Web 4.6.4.0).

Ma TV LG (avec Emby Theater 1.0.24) ne peut pas se connecter à mon Emby SSL port 8920 : "Erreur de connexion". En mettant un serveur SSL avec les même clés/certificats sur mon PC, je vois la connexion arriver mais même erreur sur la TV. (Cela exclu un éventuel filtrage du port 8920 en sortie de la TV.)

 

openssl s_server -key privatekey.key -cert certificate.crt -accept 8920 -WWW -debug

Ma MiBox S (avec Emby AndroidTv 2.0.48g) ne peut pas se connecter à mon Emby SSL port 8920 : "Erreur de connexion au serveur". En mettant un serveur SSL avec les même clés/certificats sur mon PC, je vois la connexion arriver mais même erreur sur la box. (Cela exclu un éventuel filtrage du port 8920 en sortie de la box.)

Mon smartphone Android (avec Emby for Android 3.2.26) arrive à se connecter à mon Emby SSL port 8920. Il affiche un message à propos du certificat qui ne lui plaît pas mais je peux lui dire de continuer quand même, et tout fonctionne ensuite correctement. Même comportement sur ma tablette avec Emby for Android 3.2.26.

 

Quelle est la version de ton application Android sur ta TV Philips ?

[Randdrick 24]

30 minutes ago, neves000 said:

Quelle est la version de ton application Android sur ta TV Philips ?

Je suis en 2.0.48g pour la version d'Emby sur mon Android TV. C'est peut-être lié, du coup, à la version d'Emby.

[Luke 37253]

@Randdrick has this helped you resolve this?

[Randdrick 24]

@Luke Emby TV work fine with a reverse proxy, but they have a problem with secure connexion on the 8920 port. I open a new ticket for this.

Edited November 16, 2021 by Randdrick