„Unul dintre puținele protocoale de autentificare care nu trimit un secret partajat între utilizator sau partea care solicită accesul și autentificator este Challenge-Handshake Authentication (CHAP). Este un protocol Point-to-Point (PPP) dezvoltat de Internet Engineering Task Force, IETF. În special, este util în timpul pornirii inițiale a conexiunii și a verificărilor periodice ale comunicării dintre router și gazdă.
Prin urmare, CHAP este un protocol de verificare a identității care funcționează fără a trimite un secret partajat sau un secret reciproc între utilizator (partea care solicită accesul) și autentificator (partea care verifică identitatea).
Deși încă se bazează pe un secret partajat, autentificatorul trimite un mesaj de provocare utilizatorului care solicită acces și nu un secret partajat. Partea care solicită accesul va răspunde cu o valoare calculată de obicei folosind valoarea hash unidirecțională. Partea care verifică identitatea va verifica răspunsul pe baza calculului acestuia.
Autentificarea va avea succes numai dacă valorile se potrivesc. Cu toate acestea, procesul de autentificare va eșua dacă partea care solicită accesul trimite o valoare diferită de cea a autentificatorului. Și chiar și după autentificarea cu succes a conexiunii, autentificatorul poate trimite o provocare utilizatorului din când în când pentru a menține securitatea prin limitarea timpului de expunere pentru posibile atacuri.”
Cum funcționează CHAP
CHAP funcționează în următorii pași:
1. Un client stabilește o legătură PPP către un NAS (Network Access Server) solicitând autentificare.
2. Expeditorul trimite o provocare părții care solicită accesul.
3. Partea care solicită accesul răspunde provocării folosind algoritmul hash unidirecțional MD5. În răspuns, clientul va trimite un nume de utilizator, alături de criptarea provocării, parola clientului și ID-ul sesiunii.
4. Serverul (autentificatorul) va verifica răspunsul comparându-l cu valoarea hash așteptată în funcție de provocare.
5. Serverul inițiază o conexiune dacă valorile se potrivesc. Cu toate acestea, va termina conexiunea dacă valorile nu se potrivesc. Chiar și după conectare, serverul poate solicita clientului să trimită un răspuns la noile mesaje de provocare, deoarece CHAP identifică schimbarea frecvent.
Top 5 Caracteristici ale CHAP
CHAP are o serie de caracteristici care îl fac diferit de alte protocoale. Caracteristicile includ:
-
- Spre deosebire de TCP, CHAP folosește un protocol de handshaking cu trei căi. Autentificatorul trimite o provocare clientului, iar clientul răspunde folosind o funcție hash unidirecțională. Autentificatorul potrivește răspunsul în funcție de valoarea sa calculată și în cele din urmă acordă sau refuză accesul.
- Clientul folosește o funcție hash unidirecțională MD5.
- Serverul verifică din când în când conexiunea și trimite provocări utilizatorului pentru a garanta securitatea și a minimiza atacurile în timpul sesiunilor.
- CHAP cere adesea un text clar al secretului reciproc.
- Variabilele se modifică continuu, oferind rețelelor mai multă securitate decât PAP.
Cele 4 pachete CHAP diferite
Autentificarea CHAP utilizează următoarele pachete:
-
- Pachet provocare- Acesta este pachetul pe care autentificatorul îl trimite clientului sau părții care solicită accesul odată ce clientul creează o legătură PPP. Acest pachet începe la începutul protocolului de handshaking cu trei căi. Conține o valoare de identificare, un câmp pentru valoarea aleatorie și un câmp pentru numele autentificatorului.
- Pachet de răspuns- Acesta este răspunsul pe care partea care solicită accesul îl trimite înapoi la autentificator. Are un câmp Valoare care conține valoarea hash unidirecțională generată, un câmp de nume și o valoare de identificare. Mașina client va seta automat câmpul de nume al pachetului la parolă.
- Pachetul de succes- Serverul va trimite un pachet de succes dacă răspunsul hash al utilizatorului se potrivește cu valorile calculate de server. Odată ce un server trimite un pachet de succes, sistemul va stabili o conexiune.
- Pachet de eșec – Serverul trimite un pachet de eșec în cazul în care valoarea generată diferă. Acest lucru implică, de asemenea, că nu va exista nicio conexiune.
Configurarea CHAP pe mașinile de autentificare și utilizator
Următorii pași sunt necesari la configurarea CHAP:
A. Inițiază comenzile de mai jos atât pe server/mașina de autentificare, cât și pe mașina utilizator. De obicei, acestea vor fi întotdeauna mașini de la egal la egal.
b. Schimbați numele de gazdă ale ambelor mașini folosind comanda de mai jos. Tastați comanda în fiecare dintre mașinile peer.
c. În cele din urmă, furnizați un nume de utilizator și o parolă pentru fiecare mașină folosind comanda de mai jos.
Concluzie
În special, dezvoltatorii CHAP au dezvoltat CHAP au conceput acest protocol pentru a proteja sistemele împotriva atacurilor de redare, asigurându-se că partea care solicită accesul folosește o variabilă și un identificator care se schimbă progresiv. În plus, autentificatorul controlează momentul și frecvența trimiterii provocărilor către un utilizator sau către o parte care solicită accesul.