CHAP (Challenge-Handshake Authentication Protocol)

¿Qué es CHAP (Challenge-Handshake Authentication Protocol)?

CHAP (Protocolo de Autenticación de Desafío-Apretón de manos) es un método de autenticación de desafío y respuesta que los servidores de Protocolo Punto a Punto (PPP) utilizan para verificar la identidad de un usuario remoto. La autenticación CHAP comienza después de que el usuario remoto inicia un enlace PPP.

CHAP permite a los usuarios remotos identificarse en un sistema de autenticación, sin exponer su contraseña. Con CHAP, los sistemas de autenticación utilizan un secreto compartido, la contraseña, para crear un hash criptográfico utilizando el algoritmo de resumen de mensajes MD5.

CHAP utiliza un apretón de manos de tres vías para verificar y autenticar la identidad del usuario, mientras que el Protocolo de Autenticación de contraseña (PAP) utiliza un apretón de manos de dos vías para la autenticación entre el usuario remoto y el servidor PPP.

Diseñado para ser utilizado con PPP para autenticar usuarios remotos, CHAP se aplica periódicamente durante una sesión remota para autenticar al usuario. PAP y CHAP están diseñados principalmente para conexiones remotas a través de líneas de acceso telefónico o circuitos conmutados, así como para enlaces dedicados.

PAP y CHAP se utilizan comúnmente para negociar una conexión de red a un proveedor de servicios de Internet. El CAP se especifica en la Solicitud de observaciones de 1994.

¿Cómo funciona el CHAP?

Así es como funciona CHAP:

1. Una vez realizado el enlace, el servidor envía un mensaje de desafío al solicitante de conexión.
2. El solicitante responde con un valor obtenido mediante el uso de una función hash unidireccional conocida como MD5.
3. El servidor comprueba la respuesta comparándola con su propio cálculo del valor hash esperado. Si los valores coinciden, se reconoce la autenticación; de lo contrario, la conexión suele terminar.

El servidor puede enviar un nuevo desafío al solicitante de forma aleatoria durante la sesión para volver a autenticar al solicitante. Luego se repiten los pasos 1 a 3.

En cualquier momento, el servidor puede solicitar a la parte conectada que envíe un nuevo mensaje de desafío. Debido a que los identificadores CHAP se cambian con frecuencia y el servidor puede solicitar la autenticación en cualquier momento, CHAP proporciona más seguridad que PAP.

Tipos de paquetes CHAP

PPP transporta paquetes CHAP entre el autenticador y el solicitante. Los paquetes CHAP consisten en un encabezado, que incluye lo siguiente:Campo de código

• , que contiene un código de ocho bits que identifica el tipo de paquete CHAP que se envía values los valores válidos son de 1 a 4; Campo de identificador
• , que es un ID arbitrario de ocho bits que identifica el paquete como perteneciente a una secuencia de autenticación; campo de longitud
• , que contiene el número de bytes en el paquete CHAP; y Campo de datos
• , que incluye cualquier dato solicitado o enviado y valores que dependen del tipo de paquete CHAP en el que se lleva.

CHAP funciona con cuatro tipos diferentes de paquetes. Cada paquete se identifica por el valor de su campo de código, de la siguiente manera:

1. El sistema de autenticación, generalmente un servidor o conmutador de acceso a la red, envía un paquete de desafío CHAP para iniciar el proceso de autenticación. Después de iniciar una sesión PPP, el sistema o red a la que se accede puede exigir que el usuario remoto se autentique. El desafío incluye el nombre de host del autenticador.
2. El sistema del usuario remoto debe enviar un paquete de respuesta CHAP en respuesta a un desafío. El sistema remoto envía un hash seguro basado en la contraseña del usuario remoto en el paquete de respuesta. El autenticador compara el hash de la contraseña del usuario con el valor esperado. El usuario remoto se autentica si coincide; de lo contrario, la autenticación falla.
3. El sistema de autenticación, el servidor de acceso a la red, envía un paquete de éxito CHAP si el hash del usuario remoto coincide con el hash esperado por el servidor.
4. El sistema de autenticación envía un paquete de error CHAP si el hash de contraseña del usuario remoto no coincide con el valor enviado por el usuario.

Si el sistema remoto no responde a un paquete de desafío, el autenticador puede repetir el proceso. El autenticador finaliza el acceso del usuario remoto si no puede autenticarse.

CAP vs PAP

CHAP es un procedimiento más seguro para conectarse a un sistema que PAP.

Los esquemas de autenticación PAP y CHAP se especificaron originalmente para autenticar usuarios remotos que se conectaban a redes o sistemas usando PPP. El protocolo de apretón de manos de tres vías de CHAP proporciona una protección más fuerte contra la adivinación de contraseñas y los ataques de escucha que el apretón de manos de dos vías de PAP.

La autenticación con PAP requiere que el usuario remoto envíe su nombre de usuario y contraseña, y el sistema de autenticación luego permite o deniega el acceso del usuario en función de esas credenciales.

CHAP asegura el proceso de autenticación mediante el uso de un protocolo más sofisticado. CHAP implementa un protocolo de enlace de tres vías para ser utilizado después de que el host establezca una conexión PPP con el recurso remoto.

PAP define un apretón de manos bidireccional para que un usuario remoto inicie el acceso remoto:

1. El sistema remoto envía un nombre de usuario y una contraseña, repitiendo la transmisión hasta que el servidor de acceso a la red responda.
2. El servidor de acceso a la red transmite un acuse de recibo de autenticación si las credenciales están autenticadas. Si las credenciales no se autentican, el servidor de acceso a la red envía un acuse de recibo negativo.

Mientras que PAP se puede usar como un protocolo mínimo para permitir que un usuario remoto inicie una conexión de red, CHAP proporciona un protocolo de autenticación más seguro.