CHAP (Challenge-Handshake Authentication Protocol)

co to jest CHAP (Challenge-Handshake Authentication Protocol)?

CHAP (Challenge-Handshake Authentication Protocol) jest metodą uwierzytelniania challenge and response, używaną przez serwery Point-to-Point Protocol (PPP) do weryfikacji tożsamości zdalnego użytkownika. Uwierzytelnianie CHAP rozpoczyna się po tym, jak zdalny użytkownik zainicjuje łącze PPP.

CHAP umożliwia zdalnym użytkownikom identyfikację systemu uwierzytelniającego bez ujawniania hasła. W CHAP systemy uwierzytelniania używają wspólnego sekretu-hasła – do tworzenia kryptograficznego skrótu przy użyciu algorytmu skrótu wiadomości MD5.

CHAP używa trójdrożnego uścisku dłoni do weryfikacji i uwierzytelnienia tożsamości użytkownika, podczas gdy PAP (Password Authentication Protocol) używa dwukierunkowego uścisku dłoni do uwierzytelniania między zdalnym użytkownikiem a serwerem PPP.

zaprojektowany do użycia z PPP do uwierzytelniania zdalnych użytkowników, CHAP jest okresowo stosowany podczas zdalnej sesji w celu ponownego uwierzytelnienia użytkownika. PAP i CHAP są przeznaczone przede wszystkim do połączeń zdalnych za pośrednictwem linii dial-up lub obwodów przełączanych, a także do łączy dedykowanych.

PAP i CHAP są powszechnie używane do negocjowania połączenia sieciowego z dostawcą usług internetowych. CHAP jest określony w Request for Comments 1994.

jak działa CHAP?

oto jak działa CHAP:

  1. po nawiązaniu połączenia serwer wysyła komunikat o wyzwaniu do żądającego połączenia.
  2. zapytujący odpowiada wartością uzyskaną za pomocą jednokierunkowej funkcji skrótu znanej jako MD5.
  3. serwer sprawdza odpowiedź, porównując ją z własnym obliczeniem oczekiwanej wartości skrótu. Jeśli wartości są zgodne, uwierzytelnianie jest potwierdzane; w przeciwnym razie połączenie jest zwykle zakończone.

serwer może wysłać nowe wyzwanie do zgłaszającego losowo podczas sesji, aby ponownie go wykryć. Następnie powtarza się kroki od 1 do 3.

w każdej chwili serwer może zażądać od połączonej strony wysłania nowej wiadomości wyzwania. Ponieważ identyfikatory CHAP są często zmieniane, a serwer może zażądać uwierzytelnienia w dowolnym momencie, CHAP zapewnia większe bezpieczeństwo niż PAP.

chap three-way handshake
chap używa protokołu three-way handshake do uwierzytelniania użytkowników podczas sesji PPP.

typy pakietów CHAP

PPP przenosi Pakiety CHAP pomiędzy authenticatorem a requestorem. Pakiety CHAP składają się z nagłówka, który zawiera następujące:

  • pole kodu, które zawiera ośmiobitowy kod identyfikujący Typ wysyłanego pakietu CHAP-poprawne wartości to 1 do 4;
  • pole identyfikatora, które jest arbitralnym ośmiobitowym identyfikatorem identyfikującym pakiet jako należący do sekwencji uwierzytelniania;
  • pole długości, które zawiera liczbę bajtów w pakiecie CHAP; oraz
  • pole danych, które zawiera wszelkie wymagane dane lub przesłane i wartości w zależności od typu pakietu chap, w którym jest przenoszony.

Czytaj dalej

CHAP i PAP były jednymi z pierwszych prób wdrożenia bezpiecznego zdalnego dostępu, a zrozumienie różnic między CHAP i PAP to tylko pierwszy krok.

CHAP integruje się z protokołem zdalnego uwierzytelniania Dial-In User Service lub RADIUS. Kerberos oferuje bardziej zaawansowane i bezpieczne narzędzie do zdalnego uwierzytelniania użytkowników.

poznanie różnic między CHAP i Extensible Authentication Protocol, Lightweight Extensible Authentication Protocol i Wi-Fi Protected Access version 2 protocol pomoże informatykom podjąć najlepszą decyzję.

CHAP działa z czterema różnymi typami pakietów. Każdy pakiet jest identyfikowany przez wartość jego pola kodu, w następujący sposób:

  1. System Uwierzytelniania-Zwykle serwer dostępu sieciowego lub przełącznik-wysyła pakiet CHAP Challenge, aby rozpocząć proces uwierzytelniania. Po zainicjowaniu sesji PPP dostęp do systemu lub sieci może wymagać uwierzytelnienia zdalnego użytkownika. Wyzwanie obejmuje nazwę hosta authenticatora.
  2. system zdalnego użytkownika musi wysłać pakiet odpowiedzi CHAP w odpowiedzi na wyzwanie. Zdalny system wysyła Bezpieczny hash na podstawie hasła zdalnego użytkownika w pakiecie odpowiedzi. Authenticator porównuje hash hasła użytkownika z wartością oczekiwaną. Zdalny użytkownik jest uwierzytelniany, jeśli pasuje; w przeciwnym razie uwierzytelnianie nie powiedzie się.
  3. System Uwierzytelniania-serwer dostępu sieciowego-wysyła pakiet sukcesu CHAP, jeśli hash zdalnego użytkownika odpowiada hashowi oczekiwanemu przez serwer.
  4. System Uwierzytelniania wysyła pakiet awarii CHAP, jeśli hash hasła zdalnego użytkownika nie odpowiada wartości wysłanej przez użytkownika.

jeśli zdalny system nie zareaguje na pakiet wyzwania, authenticator może powtórzyć proces. Authenticator przerywa dostęp zdalnego użytkownika, jeśli nie może go uwierzytelnić.

PAP

CHAP to bezpieczniejsza procedura łączenia się z systemem niż PAP.

Schematy uwierzytelniania PAP i CHAP zostały pierwotnie określone do uwierzytelniania zdalnych użytkowników łączących się z sieciami lub systemami przy użyciu PPP. Protokół trójdrożnego uścisku dłoni CHAP zapewnia silniejszą ochronę przed zgadywaniem haseł i podsłuchiwaniem ataków niż dwukierunkowy uścisk dłoni PAP.

CHAP vs. PAP
CHAP i PAP różnią się na kilka sposobów, przede wszystkim jest to, że CHAP jest bardziej bezpieczny niż PAP.

uwierzytelnianie za pomocą PAP wymaga od Zdalnego Użytkownika podania nazwy użytkownika i hasła, a system uwierzytelniania zezwala lub odmawia Użytkownikowi dostępu na podstawie tych poświadczeń.

PAP two-way handshake
PAP to prosty dwukierunkowy uścisk dłoni do uwierzytelniania zdalnych użytkowników.

CHAP zabezpiecza proces uwierzytelniania przy użyciu bardziej wyrafinowanego protokołu. CHAP implementuje trójdrożny protokół handshake, który ma być używany po nawiązaniu przez hosta połączenia PPP z zasobem zdalnym.

PAP definiuje dwukierunkowy uścisk dłoni dla zdalnego użytkownika, aby zainicjować zdalny dostęp:

  1. zdalny system wysyła nazwę użytkownika i hasło, powtarzając transmisję, dopóki serwer dostępu do sieci nie odpowie.
  2. serwer dostępu sieciowego przesyła potwierdzenie uwierzytelnienia, jeśli poświadczenia są uwierzytelnione. Jeśli poświadczenia nie są uwierzytelnione, serwer dostępu sieciowego wysyła negatywne potwierdzenie.

chociaż PAP może być używany jako protokół minimum, aby umożliwić zdalnemu użytkownikowi inicjowanie połączenia sieciowego, CHAP zapewnia bezpieczniejszy protokół uwierzytelniania.

Leave a Reply