Articles /

CHAP (Challenge-Handshake Authentication Protocol)

Wat is CHAP (Challenge-Handshake Authentication Protocol)?

CHAP (Challenge-Handshake Authentication Protocol) is een challenge and response authentication methode die Point-to-Point Protocol (PPP) servers gebruiken om de identiteit van een externe gebruiker te verifiëren. CHAP-verificatie begint nadat de externe gebruiker een PPP-koppeling initieert.

CHAP stelt gebruikers op afstand in staat zich te identificeren met een authenticatiesysteem, zonder hun wachtwoord bloot te stellen. Met CHAP gebruiken authenticatiesystemen een gedeeld geheim — het wachtwoord — om een cryptografische hash te maken met behulp van het MD5 message digest algoritme.

CHAP gebruikt een Drieweg handshake om de identiteit van de gebruiker te verifiëren en te verifiëren, terwijl het Password Authentication Protocol (PAP) een tweeweg handshake gebruikt voor authenticatie tussen de gebruiker op afstand en de PPP-server.

ontworpen om te worden gebruikt met PPP voor het verifiëren van externe gebruikers, wordt CHAP periodiek toegepast tijdens een externe sessie om de gebruiker opnieuw te authenticeren. PAP en CHAP zijn voornamelijk bedoeld voor externe verbindingen via inbellijnen of geschakelde circuits, evenals voor speciale verbindingen.

PAP en CHAP worden gewoonlijk gebruikt voor het onderhandelen over een netwerkverbinding met een internetprovider. CHAP wordt gespecificeerd in Request for Comments 1994.

Hoe werkt CHAP?

zo werkt CHAP:

  1. nadat de link is gemaakt, stuurt de server een challenge bericht naar de verbindingsaanvrager.
  2. de aanvrager reageert met een waarde die wordt verkregen door gebruik te maken van een eenrichtings-hashfunctie die bekend staat als MD5.
  3. de server controleert het antwoord door het te vergelijken met zijn eigen berekening van de verwachte hashwaarde. Als de waarden overeenkomen, wordt de verificatie bevestigd; anders wordt de verbinding meestal beëindigd.

de server kan tijdens de sessie een nieuwe uitdaging naar de aanvrager sturen om de aanvrager opnieuw te authenticeren. Stap 1 tot en met 3 worden dan herhaald.

de server kan de verbonden partij te allen tijde verzoeken een nieuw challenge-bericht te verzenden. Omdat CHAP-ID ‘ s vaak worden gewijzigd en verificatie op elk moment door de server kan worden aangevraagd, biedt CHAP meer beveiliging dan PAP.

CHAP three-way handshake
CHAP gebruikt een three-way handshake protocol om gebruikers te authenticeren via PPP sessies.

typen CHAP-pakketten

PPP draagt CHAP-pakketten tussen de authenticator en de aanvrager. CHAP-pakketten bestaan uit een header, die het volgende bevat: :

  • Code veld bevat een acht-bits code die het type CHAP-pakket dat wordt verzonden — geldige waarden zijn 1 tot en met 4;
  • Id-veld, dit is een willekeurige acht-bits ID-identificatie van het pakket als behorend tot een andere authenticatie;
  • Lengte veld bevat het aantal bytes in de CHAP-pakket; en
  • veld, met alle gegevens wordt gevraagd of ingediend en waarden, afhankelijk van het type CHAP-pakket dat het wordt gedragen op.

verder lezen

CHAP en PAP waren een van de eerste pogingen om veilige toegang op afstand te implementeren, en het begrijpen van de verschillen tussen CHAP en PAP is slechts de eerste stap.

CHAP integreert met het remote Authentication Dial-In User Service, of RADIUS, protocol. Kerberos biedt een meer geavanceerde en veilige tool voor gebruikersauthenticatie op afstand.

het leren van de verschillen tussen CHAP en Extensible Authentication Protocol, Lightweight Extensible Authentication Protocol en Wi-Fi Protected Access version 2 protocol zullen IT-professionals helpen de beste beslissing te nemen.

CHAP werkt met vier verschillende soorten pakketten. Elk pakket wordt geïdentificeerd door de waarde van zijn Codeveld, als volgt:

  1. het authenticatiesysteem — meestal een netwerktoegangsserver of switch — stuurt een chap Challenge packet om het authenticatieproces te starten. Nadat een PPP-sessie is gestart, kan het systeem of netwerk dat wordt benaderd eisen dat de externe gebruiker zich aanmeldt. De uitdaging omvat de hostnaam van de authenticator.
  2. het systeem van de gebruiker op afstand moet een CHAP-antwoordpakket sturen als antwoord op een uitdaging. Het systeem op afstand verzendt een veilige hash op basis van het wachtwoord van de externe gebruiker in het antwoordpakket. De authenticator vergelijkt de hash van het wachtwoord van de gebruiker met de verwachte waarde. De externe gebruiker wordt geverifieerd als deze overeenkomt; anders mislukt de verificatie.
  3. het authenticatiesysteem– de netwerktoegangsserver — stuurt een chap-Succespakket als de hash van de externe gebruiker overeenkomt met de hash die door de server wordt verwacht.
  4. het authenticatiesysteem stuurt een chap-Foutpakket als de wachtwoordhash van de externe gebruiker niet overeenkomt met de waarde die door de gebruiker is verzonden.

als het systeem op afstand niet reageert op een Challenge-pakket, kan de authenticator het proces herhalen. De authenticator beëindigt de toegang van de externe gebruiker als deze niet kan verifiëren.

CHAP vs. PAP

CHAP is een veiliger procedure voor het aansluiten op een systeem dan PAP.

de PAP-en CHAP-authenticatieschema ‘ s waren beide oorspronkelijk gespecificeerd voor authenticatie van externe gebruikers die verbinding maken met netwerken of systemen met behulp van PPP. CHAP ‘s three-way handshake protocol biedt een sterkere bescherming tegen wachtwoordgissen en afluisteraanvallen dan PAP’ s two-way handshake.

CHAP vs. PAP
CHAP en PAP verschillen op verschillende manieren, met name omdat CHAP veiliger is dan PAP.

authenticatie met PAP vereist dat de gebruiker op afstand zijn gebruikersnaam en wachtwoord indient, en het authenticatiesysteem staat dan de gebruiker toegang toe of weigert op basis van deze referenties.

PAP tweeweg handshake
PAP is een eenvoudige tweeweg handshake voor het authenticeren van gebruikers op afstand.

CHAP beveiligt het authenticatieproces door gebruik te maken van een geavanceerder protocol. CHAP implementeert een Drieweg handshake protocol dat gebruikt moet worden nadat de host een PPP verbinding met de remote bron tot stand heeft gebracht.

PAP definieert een tweerichtingshandshake voor een externe gebruiker om toegang op afstand te starten:

  1. het externe systeem verzendt een gebruikersnaam en wachtwoord, waarbij de transmissie wordt herhaald totdat de netwerktoegangsserver reageert.
  2. de netwerktoegangsserver verzendt een authenticatiebevestiging als de referenties zijn geverifieerd. Als de referenties niet zijn geverifieerd, verzendt de netwerktoegangsserver een negatieve bevestiging.

hoewel PAP kan worden gebruikt als een absoluut minimumprotocol om een externe gebruiker in staat te stellen een netwerkverbinding te starten, biedt CHAP een veiliger authenticatieprotocol.

Leave a Reply