# Sicherheitslücke bei TCP Server/Client?



## gutenacht-steph (17. Aug 2010)

Hallo.

Ich musste für ein lokales Programm, das ein Kunde auf seinem Computer installiert und eine Verbindung mit einem Remote Server  aufbaut, eine passende Übertragungsmöglichkeit/Empfangsarchitekturfür Daten finden,.

Habe mich für TCP entschieden, nach dem Client-Server Prinzip. RMI habe ich aus persönlichen Gründen nicht genommen.

Jedenfalls ist meine konkrete Frage, in welcher Art und Weise könnte es Probleme geben, was die Security meines Clients/Servers angeht? Ich kenne mich mit der Materie leider nicht besonders gut aus.

Jedenfalls kann sich momentan jeder x-beliebige wenn er die Server IP und den Server Port besitzt mittels Telnet drauf einklinken, was in der Server Klasse dann als "Verbindung Nr.X" angezeigt wird.


Es gibt einen TCPServer, einen ServerThread und den Clienten.


Der Client schickt ein User Namen und User Passwort als String/UTF an den Server.

Der ServerThread ruft aus anderen lokalen Klassen dann Methoden auf, die verarbeitet werden. 

ServerThread schickt dann den Return Wert an den Clienten.



TCP Server:

```
public class TCPServer {

    public static void main(String args[]) {

        int anz = 1;

        try {
            ServerSocket ss = new ServerSocket(7788);
            while (true) {
                Socket sverb = ss.accept();
                System.out.println("Verbindung Nr." + anz);
                new ServerThread(sverb, anz).start();
                anz++;
            }
        } catch (Exception e) {
            System.out.println(e);
        }

    }
}
```

TCP-Server Thread:


```
public class ServerThread extends Thread implements Serializable{

    private MonitorRemote mr;
    private Socket sverb;
    private int anz;
    private DataInputStream in;
    private DataOutputStream dout;

    ServerThread(Socket s, int z) {
        this.sverb = s;
        this.anz = z;
    }

    public void sendData(DataOutputStream d) throws IOException {       
        
        ObjectOutputStream oos = new ObjectOutputStream(sverb.getOutputStream());
        ObjectInputStream ois = new ObjectInputStream(sverb.getInputStream());

        oos.writeObject(q); // Int
        oos.writeObject(u); // String array
        oos.writeObject(lsa); // Liste von String arrays

    }

    public void login(DataInputStream in, DataOutputStream dout) throws IOException { 
        mr = new MonitorBean();                                            

        DataOutputStream d = dout;


        String user = in.readUTF();
        String pass = in.readUTF();
        System.out.println(user + pass);
        System.out.println("kurz in login funk...");

        String s = mr.echo(user, pass);
        dout.writeUTF(s);

        if (s.equals("1")) {
            sendData(d);

        }


    }

    @Override
    public void run() {
        try {
            in = new DataInputStream(sverb.getInputStream());
            dout = new DataOutputStream(sverb.getOutputStream());
            PrintStream out = new PrintStream(sverb.getOutputStream());

            String s = null;
            boolean q = true;

            while (q) {
                s = in.readUTF();
                System.out.println(s);
                if (s.equals("10")) {
                    login(in, dout);
                    q = false;
                }
            }

            sverb.close();

        } catch (Exception e) {
            System.out.println(e);
        }
    }
}
```

TCP-Client:


```
/* eventuell Überlegung Wert, dass sich user nur 4mal hintereinander einloggen darf
 * mit falschen Passwort. Anschließend wird login für X Minuten gesperrt
 */

import java.net.*;
import java.io.*;
import java.util.ArrayList;
import java.util.List;

public class TCPClient implements Serializable {

    private String user;
    private String pass;
    private DataInputStream in;
    private DataOutputStream out;
    private Socket clientSocket;
    private ObjectOutputStream oos;
    private ObjectInputStream ois;
    private List<String> MaxTraffic;
    private List<String[]> IP;
    private Integer Traffic;
    private String host;
    private int serverPort;

    public TCPClient(String host, int serverPort, String user, String pass) throws IOException, ClassNotFoundException {

        this.host = host;
        this.serverPort = serverPort;
        this.user = user;
        this.pass = pass;
        
        System.out.println("TCP Client wird gerade erstelllt");
        //login();

    }

    public void setUser(String user) {
        this.user = user;
    }

    public void setPass(String pass) {
        this.pass = pass;
    }

    public void write(String msg) throws IOException {
        out.writeUTF(msg);
    }

    public String read() throws IOException{
        return in.readUTF();
    }

    public void getObjectStreams() throws IOException, ClassNotFoundException{
        oos = new ObjectOutputStream(clientSocket.getOutputStream());
        ois = new ObjectInputStream(clientSocket.getInputStream());
            
        this.Traffic = (Integer)ois.readObject();
        this.MaxTraffic = (ArrayList<String>)ois.readObject();              // erstellt wurden
        this.IP = (ArrayList<String[]>)ois.readObject();
        
    }

    public List<String> getMaxTraffic() throws IOException, ClassNotFoundException{
        return this.MaxTraffic;
    }

    public List<String[]> getIP() throws IOException, ClassNotFoundException{
        return this.IP;
    }

    public Integer getTraffic() throws IOException, ClassNotFoundException{
        System.out.println("in get traffic drinnen");
        return this.Traffic;
    }

    public int accept(){
        return 1;
    }

    public void login() throws IOException, ClassNotFoundException {
        this.clientSocket = new Socket(host, serverPort);
        in = new DataInputStream(clientSocket.getInputStream());
        out = new DataOutputStream(clientSocket.getOutputStream());

        write("10");
        write(user);
        write(pass);
         
        String s = read();
        System.out.println(s);

        if (s.equals("1")) 
        {
            accept();
            getObjectStreams();
            
        }
        
        out.close();
        ois.close();
        oos.close();
        clientSocket.close();

    }
}
```

Hättet ihr Tipps bzw Ratschläge auf was ich noch achten soll?

Würde mich über Antworten freuen.


----------



## dayaftereh (17. Aug 2010)

Hey, also ich denke eine User authentication über password und Username ist schon mal was feine.Dann würde ich mir das mal mit public, private Keys an schauen und so jede daten die übers TCP gehen Verschlüsseln, vielicht auch ssl nutzen! das wär meine Tip. Vielicht auch NIO nutzen um deinal of Service attacken zu vermeiden, oder eine Limmit von Verbindungen setzen!


----------



## gutenacht-steph (17. Aug 2010)

Vielen Dank für die Tipps.

Es passt zwar nicht zum Threadtopic, aber ist es möglich, mehrere ServerSockets mit unterschiedlichen IPs und Ports bereitzustellen.

In meinem obigen Beispiel besitze ich doch nur den ServerSocket ss, der die lokale Adresse localhost hat. Aber was, wenn ich es Clients z.B. frei entscheiden lassen möchte, so dass sie z.B. 3 Server IPs zu unterschiedlichen Ports zur Auswahl hätten.


----------



## Michael... (17. Aug 2010)

gutenacht-steph hat gesagt.:


> In meinem obigen Beispiel besitze ich doch nur den ServerSocket ss, der die lokale Adresse localhost hat. Aber was, wenn ich es Clients z.B. frei entscheiden lassen möchte, so dass sie z.B. 3 Server IPs zu unterschiedlichen Ports zur Auswahl hätten.


Verstehe die Fragestellung nicht so ganz bzw. was Du vorhast. Willst Du Deine Serversoftware auf drei verschiedenen Rechnern laufen lassen?
Das ServerSocket ist über die IP Adresse des Rechners bzw. dessen Netzwerkkarte ansprechbar. Die IP Adresse kann z.B. durch den "Eigentümer" des Netzwerks festgelegt werden. Den Port kann der Programmierer im Code fest angeben oder besser z.B über ein config-File o.ä. einstellbar machen (es ist ja nicht immer genau der eine Port frei)
Mit Verwendung von localhost (IP Adresse: 127.0.0.1) sagt man eigentlich nur, dass man auf das aktuelle System zugreifen will, wenn z.B. Client und Server auf dem selben Rechner laufen. Damit kommuniziert man über die virtuelle Netzwerkkarte des Systems.

Wenn jetzt eine Clientsoftware per Socket ein Verbindung zur Serversoftware aufbauen will muss sie die IP des Servers und den Port hinter dem die Software wartet kennen. Wenn Du jetzt drei Server hast, kannst Du sicherlich die Clients zwischen den drei IP Adressen wählen lassen - wie immer das aussehen mag. Ich würde aber auf allen drei Rechnern nach Möglichkeit den selben Port verwenden (Prinzipiell ist es egal).

Eine Anmerkung zur ursprünglichen Frage:
Ein offener Port ist immer ein Sicherheitsrisiko. Wie schaut die Infrastruktur aus? Greift der Client immer mit der selben/ einer festen IP auf den Server zu? Dann könnte man per Firewall auf dem Serverrechner den Port exklusiv für die eine IP freischalten.


----------



## gutenacht-steph (18. Aug 2010)

Dankeschön.

Ja, ich habe vor zudem nur einen bestimmten IP Adressbereich zuzulassen. Weil die Clienten nur eine bestimmte IP besitzen dürfen.


----------



## tuxedo (19. Aug 2010)

gutenacht-steph hat gesagt.:


> Ja, ich habe vor zudem nur einen bestimmten IP Adressbereich zuzulassen. Weil die Clienten nur eine bestimmte IP besitzen dürfen.



Ähm, Firewall?

- Alex


----------

