CHAP (Challenge-Handshake Authentication Protocol)
mi az a CHAP (Challenge-Handshake Authentication Protocol)?
FICKÓ (Kihívás-Kézfogás Hitelesítési Protokoll) egy kihívás-válasz hitelesítési módszer, hogy pont-Pont Protokoll (PPP) szerverek használata, hogy a személyazonosságát egy távoli felhasználó. A CHAP-hitelesítés akkor kezdődik, amikor a távoli felhasználó PPP-kapcsolatot kezdeményez.
a CHAP lehetővé teszi a távoli felhasználók számára, hogy azonosítsák magukat egy hitelesítő rendszerben, anélkül, hogy feltennék a jelszavukat. A CHAP segítségével a hitelesítő rendszerek megosztott titkot – a jelszót-használnak egy kriptográfiai hash létrehozásához az MD5 message digest algoritmus segítségével.
a CHAP háromirányú kézfogást használ a felhasználó identitásának ellenőrzésére és hitelesítésére, míg a Password Authentication Protocol (pap) kétirányú kézfogást használ a távoli felhasználó és a PPP szerver közötti hitelesítéshez.
úgy tervezték, hogy használható PPP hitelesítésére távoli felhasználók, CHAP alkalmazzák időszakosan egy távoli munkamenet során újra hitelesíteni a felhasználó. A PAP és a CHAP elsősorban telefonos vagy kapcsolt áramkörökön keresztüli távoli kapcsolatokra, valamint dedikált kapcsolatokra szolgál.
a PAP-ot és a CHAP-ot általában az internetszolgáltatóval való hálózati kapcsolat megtárgyalására használják. A CHAP-ot az 1994-es Megjegyzések iránti kérelem határozza meg.
hogyan működik a CHAP?
így működik a CHAP:
- a kapcsolat létrehozása után a kiszolgáló Kihívási üzenetet küld a kapcsolat kérelmezőjének.
- a kérelmező az MD5 néven ismert egyirányú hash függvény használatával kapott értékkel válaszol.
- a szerver ellenőrzi a választ, összehasonlítva azt a várt hash érték saját kiszámításával. Ha az értékek egyeznek, a hitelesítés nyugtázásra kerül; ellenkező esetben a kapcsolat általában megszakad.
a kiszolgáló véletlenszerűen küldhet új kihívást a kérelmezőnek a munkamenet során, hogy újra hitelesítse a kérelmezőt. Az 1-3. lépéseket ezután megismételjük.
a szerver bármikor kérheti a csatlakoztatott felet, hogy küldjön új Kihívási üzenetet. Mivel a CHAP azonosítók gyakran változnak, és a kiszolgáló bármikor kérheti a hitelesítést, a CHAP nagyobb biztonságot nyújt, mint a PAP.
a CHAP csomagok típusai
a PPP CHAP csomagokat hordoz a hitelesítő és a kérelmező között. A CHAP csomagok egy fejlécből állnak, amely a következőket tartalmazza:
- Kódmező, amely egy nyolc bites kódot tartalmaz, amely azonosítja az elküldött CHAP csomag típusát — az érvényes értékek 1-4;
- azonosító mező, amely egy tetszőleges nyolc bites azonosító, amely azonosítja a csomagot egy hitelesítési sorozathoz tartozóként;
- Hosszmező, amely tartalmazza a CHAP csomagban lévő bájtok számát; és
- adatmező, amely tartalmazza a kért adatokat vagy a beküldött értékek attól függően, hogy milyen típusú chap csomagot szállítanak.
a CHAP és a PAP voltak az első kísérletek a biztonságos távoli hozzáférés megvalósítására, és a CHAP és a PAP közötti különbségek megértése csak az első lépés.
a CHAP integrálódik a távoli hitelesítési telefonos felhasználói szolgáltatással vagy a RADIUS protokollal. A Kerberos egy kifinomultabb és biztonságosabb eszközt kínál a távoli felhasználói hitelesítéshez.
a CHAP és az Extensible Authentication Protocol, a Lightweight Extensible Authentication Protocol és a Wi-Fi Protected Access version 2 protokoll közötti különbségek megismerése segít az informatikai szakembereknek a legjobb döntés meghozatalában.
a CHAP négy különböző típusú csomaggal működik. Minden csomagot a Kódmező értéke azonosít, az alábbiak szerint:
- a hitelesítő rendszer-általában hálózati hozzáférési kiszolgáló vagy kapcsoló-CHAP Challenge csomagot küld a hitelesítési folyamat elindításához. A PPP-munkamenet megkezdése után a rendszer vagy a hálózat hozzáférése megkövetelheti a távoli felhasználó hitelesítését. A kihívás tartalmazza a hitelesítő gazdagép nevét.
- a távoli felhasználó rendszerének egy CHAP Válaszcsomagot kell küldenie egy kihívásra. A távoli rendszer biztonságos kivonatot küld a távoli felhasználó jelszava alapján a Válaszcsomagban. A hitelesítő összehasonlítja a felhasználó jelszavának kivonatát a várt értékkel. A távoli felhasználó hitelesítésre kerül, ha egyezik; ellenkező esetben a hitelesítés sikertelen.
- a hitelesítő rendszer-a hálózati hozzáférési kiszolgáló-egy Chap Sikercsomagot küld, ha a távoli felhasználó kivonata megegyezik a kiszolgáló által elvárt kivonattal.
- a hitelesítő rendszer CHAP Hibacsomagot küld, ha a távoli felhasználó jelszavának kivonata nem egyezik meg a felhasználó által küldött értékkel.
ha a távoli rendszer nem válaszol egy Kihívási csomagra, a hitelesítő megismételheti a folyamatot. A hitelesítő megszünteti a távoli felhasználó hozzáférését, ha nem tudja hitelesíteni.
fickó vs. PAP
a CHAP biztonságosabb eljárás a rendszerhez való csatlakozáshoz, mint a PAP.
a PAP és a CHAP hitelesítési sémákat eredetileg a PPP használatával hálózatokhoz vagy rendszerekhez csatlakozó távoli felhasználók hitelesítésére határozták meg. A CHAP háromirányú kézfogási protokollja erősebb védelmet nyújt a jelszó-találgatás és a lehallgatási támadások ellen, mint PAP kétirányú kézfogása.
a PAP használatával történő hitelesítéshez a távoli felhasználónak meg kell adnia felhasználónevét és jelszavát, majd a hitelesítő rendszer engedélyezi vagy megtagadja a felhasználói hozzáférést ezen hitelesítő adatok alapján.
a CHAP egy kifinomultabb protokoll használatával biztosítja a hitelesítési folyamatot. A CHAP egy háromutas kézfogási protokollt valósít meg, amelyet azután kell használni, hogy a gazdagép PPP kapcsolatot létesít a távoli erőforrással.
a PAP kétirányú kézfogást határoz meg egy távoli felhasználó számára a távoli hozzáférés kezdeményezéséhez:
- a távoli rendszer felhasználónevet és jelszót küld, és megismétli az átvitelt, amíg a hálózati hozzáférési szerver válaszol.
- a hálózati hozzáférési kiszolgáló hitelesítési nyugtát küld, ha a hitelesítő adatok hitelesek. Ha a hitelesítő adatok nincsenek hitelesítve, a hálózati hozzáférési kiszolgáló negatív nyugtát küld.
míg a PAP használható minimális protokollként a távoli felhasználók számára a hálózati kapcsolat kezdeményezéséhez, a CHAP biztonságosabb hitelesítési protokollt biztosít.
Leave a Reply