CHAP (Challenge-Handshake Authentication Protocol)
o que é CHAP (Challenge-Handshake Authentication Protocol)?
CHAP (Challenge-Handshake Authentication Protocol) é um método de autenticação de desafio e resposta que os servidores Point-to-Point Protocol (PPP) usam para verificar a identidade de um usuário remoto. A autenticação CHAP começa depois que o usuário remoto inicia um link PPP.
o CHAP permite que usuários remotos se identifiquem em um sistema de autenticação, sem expor sua senha. Com o CHAP, os sistemas de autenticação usam um segredo compartilhado – a senha-para criar um hash criptográfico usando o algoritmo MD5 message digest.
CHAP usa um handshake de três vias para verificar e autenticar a identidade do usuário, enquanto o Password Authentication Protocol (PAP) usa um handshake de duas vias para autenticação entre o usuário remoto e o servidor PPP.
projetado para ser usado com PPP para autenticar usuários remotos, o CHAP é aplicado periodicamente durante uma sessão remota para reautenticar o usuário. PAP e CHAP são destinados principalmente para conexões remotas sobre linhas dial-up ou circuitos comutados, bem como para links dedicados.
PAP e CHAP são comumente usados para negociar uma conexão de rede com um provedor de serviços de internet. CHAP é especificado no pedido de comentários 1994.
como funciona o CHAP?
veja como o CHAP funciona:
- depois que o link é feito, o servidor envia uma mensagem de desafio para o solicitante de conexão.
- o solicitante responde com um valor obtido usando uma função hash unidirecional conhecida como MD5.
- o servidor verifica a resposta comparando-a com seu próprio cálculo do valor de hash esperado. Se os valores corresponderem, a autenticação será reconhecida; caso contrário, a conexão geralmente será encerrada.
o servidor pode enviar um novo desafio ao solicitante aleatoriamente durante a sessão para reautenticar o solicitante. Os passos 1 a 3 são então repetidos.
a qualquer momento, o servidor pode solicitar que a parte conectada envie uma nova mensagem de desafio. Como os identificadores CHAP são alterados com frequência e a autenticação pode ser solicitada pelo servidor a qualquer momento, o CHAP fornece mais segurança do que o PAP.
tipos de pacotes CHAP
PPP carrega pacotes CHAP entre o autenticador e o solicitante. Os pacotes CHAP consistem em um cabeçalho, que inclui o seguinte:
- campo de Código, que contém oito bits código que identifica o tipo de CHAP pacote que está sendo enviado, os valores válidos são de 1 a 4;
- Identificador de campo, que é arbitrária, oito bits de IDENTIFICAÇÃO identifica o pacote como pertencentes a uma sequência de autenticação;
- > Comprimento de campo, que contém o número de bytes no CHAP pacote; e
- campo de Dados, o que inclui dados que estão sendo solicitados ou submetido e valores, dependendo do tipo de CHAP pacote que está sendo transportados em.
leitura Adicional
CHAP e PAP estavam entre as primeiras tentativas para implementar o acesso remoto seguro, e entender as diferenças entre CHAP e PAP é apenas o primeiro passo.
CHAP integra-se com o serviço de usuário de discagem de autenticação remota, ou RADIUS, protocolo. Kerberos oferece uma ferramenta mais sofisticada e segura para autenticação de usuário remoto.Aprender as diferenças entre CHAP e Extensible Authentication Protocol, Lightweight Extensible Authentication Protocol e Wi-Fi Protected Access version 2 protocol ajudará os profissionais de TI a tomar a melhor decisão.
o CHAP trabalha com quatro tipos diferentes de pacotes. Cada pacote é identificado pelo valor de seu campo de código, como segue:
- o sistema de autenticação-geralmente um servidor de acesso à rede ou switch-envia um pacote chap Challenge para iniciar o processo de autenticação. Depois que uma sessão PPP é iniciada, o sistema ou a rede acessada pode exigir que o usuário remoto se autentique. O Desafio inclui o nome de host do autenticador.
- o sistema do usuário remoto deve enviar um pacote de resposta CHAP em resposta a um desafio. O sistema remoto envia um hash seguro com base na senha do usuário remoto no Pacote de resposta. O autenticador compara o hash da senha do usuário com o valor esperado. O usuário remoto é autenticado se corresponder; caso contrário, a autenticação falha.
- o sistema de autenticação-o servidor de acesso à rede-envia um pacote de sucesso do CHAP se o hash do usuário remoto corresponder ao hash esperado pelo servidor.
- o sistema de autenticação envia um pacote de falha de CHAP se o hash de senha do usuário remoto não corresponder ao valor enviado pelo Usuário.
se o sistema remoto não responder a um pacote de desafio, o autenticador pode repetir o processo. O autenticador encerra o acesso do usuário remoto se ele não puder autenticar.
CHAP vs. PAP
CHAP é um procedimento mais seguro para se conectar a um sistema do que PAP.
os esquemas de autenticação PAP e CHAP foram originalmente especificados para autenticar usuários remotos que se conectam a redes ou sistemas usando PPP. O protocolo de handshake de três vias do CHAP fornece proteção mais forte contra ataques de adivinhação e espionagem de senhas do que o handshake bidirecional do PAP.
CHAP protege o processo de autenticação usando um protocolo mais sofisticado. O CHAP implementa um protocolo de handshake de três vias para ser usado depois que o host estabelece uma conexão PPP com o recurso remoto.
PAP define um handshake bidirecional para um usuário remoto iniciar o acesso remoto:
- o sistema remoto envia um nome de usuário e senha, repetindo a transmissão até que o servidor de acesso à rede responda.
- o servidor de acesso à rede transmite uma confirmação de autenticação se as credenciais forem autenticadas. Se as credenciais não forem autenticadas, o servidor de acesso à rede enviará uma confirmação negativa.
embora o PAP possa ser usado como um protocolo mínimo para permitir que um usuário remoto Inicie uma conexão de rede, o CHAP fornece um protocolo de autenticação mais seguro.
Leave a Reply