CHAP (Challenge-Handshake Authentication Protocol)

o que é CHAP (Challenge-Handshake Authentication Protocol)?

CHAP (Challenge-Handshake Authentication Protocol) é um método de autenticação de desafio e resposta que os servidores Point-to-Point Protocol (PPP) usam para verificar a identidade de um usuário remoto. A autenticação CHAP começa depois que o usuário remoto inicia um link PPP.

o CHAP permite que usuários remotos se identifiquem em um sistema de autenticação, sem expor sua senha. Com o CHAP, os sistemas de autenticação usam um segredo compartilhado – a senha-para criar um hash criptográfico usando o algoritmo MD5 message digest.

CHAP usa um handshake de três vias para verificar e autenticar a identidade do usuário, enquanto o Password Authentication Protocol (PAP) usa um handshake de duas vias para autenticação entre o usuário remoto e o servidor PPP.

projetado para ser usado com PPP para autenticar usuários remotos, o CHAP é aplicado periodicamente durante uma sessão remota para reautenticar o usuário. PAP e CHAP são destinados principalmente para conexões remotas sobre linhas dial-up ou circuitos comutados, bem como para links dedicados.

PAP e CHAP são comumente usados para negociar uma conexão de rede com um provedor de serviços de internet. CHAP é especificado no pedido de comentários 1994.

como funciona o CHAP?

veja como o CHAP funciona:

  1. depois que o link é feito, o servidor envia uma mensagem de desafio para o solicitante de conexão.
  2. o solicitante responde com um valor obtido usando uma função hash unidirecional conhecida como MD5.
  3. o servidor verifica a resposta comparando-a com seu próprio cálculo do valor de hash esperado. Se os valores corresponderem, a autenticação será reconhecida; caso contrário, a conexão geralmente será encerrada.

o servidor pode enviar um novo desafio ao solicitante aleatoriamente durante a sessão para reautenticar o solicitante. Os passos 1 a 3 são então repetidos.

a qualquer momento, o servidor pode solicitar que a parte conectada envie uma nova mensagem de desafio. Como os identificadores CHAP são alterados com frequência e a autenticação pode ser solicitada pelo servidor a qualquer momento, o CHAP fornece mais segurança do que o PAP.

chap handshake de três vias
CHAP usa um protocolo de handshake de três vias para autenticar usuários em sessões PPP.

tipos de pacotes CHAP

PPP carrega pacotes CHAP entre o autenticador e o solicitante. Os pacotes CHAP consistem em um cabeçalho, que inclui o seguinte:

  • campo de Código, que contém oito bits código que identifica o tipo de CHAP pacote que está sendo enviado, os valores válidos são de 1 a 4;
  • Identificador de campo, que é arbitrária, oito bits de IDENTIFICAÇÃO identifica o pacote como pertencentes a uma sequência de autenticação;
  • > Comprimento de campo, que contém o número de bytes no CHAP pacote; e
  • campo de Dados, o que inclui dados que estão sendo solicitados ou submetido e valores, dependendo do tipo de CHAP pacote que está sendo transportados em.

leitura Adicional

CHAP e PAP estavam entre as primeiras tentativas para implementar o acesso remoto seguro, e entender as diferenças entre CHAP e PAP é apenas o primeiro passo.

CHAP integra-se com o serviço de usuário de discagem de autenticação remota, ou RADIUS, protocolo. Kerberos oferece uma ferramenta mais sofisticada e segura para autenticação de usuário remoto.Aprender as diferenças entre CHAP e Extensible Authentication Protocol, Lightweight Extensible Authentication Protocol e Wi-Fi Protected Access version 2 protocol ajudará os profissionais de TI a tomar a melhor decisão.

o CHAP trabalha com quatro tipos diferentes de pacotes. Cada pacote é identificado pelo valor de seu campo de código, como segue:

  1. o sistema de autenticação-geralmente um servidor de acesso à rede ou switch-envia um pacote chap Challenge para iniciar o processo de autenticação. Depois que uma sessão PPP é iniciada, o sistema ou a rede acessada pode exigir que o usuário remoto se autentique. O Desafio inclui o nome de host do autenticador.
  2. o sistema do usuário remoto deve enviar um pacote de resposta CHAP em resposta a um desafio. O sistema remoto envia um hash seguro com base na senha do usuário remoto no Pacote de resposta. O autenticador compara o hash da senha do usuário com o valor esperado. O usuário remoto é autenticado se corresponder; caso contrário, a autenticação falha.
  3. o sistema de autenticação-o servidor de acesso à rede-envia um pacote de sucesso do CHAP se o hash do usuário remoto corresponder ao hash esperado pelo servidor.
  4. o sistema de autenticação envia um pacote de falha de CHAP se o hash de senha do usuário remoto não corresponder ao valor enviado pelo Usuário.

se o sistema remoto não responder a um pacote de desafio, o autenticador pode repetir o processo. O autenticador encerra o acesso do usuário remoto se ele não puder autenticar.

CHAP vs. PAP

CHAP é um procedimento mais seguro para se conectar a um sistema do que PAP.

os esquemas de autenticação PAP e CHAP foram originalmente especificados para autenticar usuários remotos que se conectam a redes ou sistemas usando PPP. O protocolo de handshake de três vias do CHAP fornece proteção mais forte contra ataques de adivinhação e espionagem de senhas do que o handshake bidirecional do PAP.

CHAP vs. PAP
CHAP e PAP diferem de várias maneiras, principalmente sendo que o CHAP é mais seguro que o PAP. A autenticação com PAP requer que o usuário remoto envie seu nome de usuário e senha, e o sistema de autenticação permite ou nega o acesso do usuário com base nessas credenciais.

PAP handshake bidirecional
PAP é um handshake bidirecional simples para autenticar usuários remotos.

CHAP protege o processo de autenticação usando um protocolo mais sofisticado. O CHAP implementa um protocolo de handshake de três vias para ser usado depois que o host estabelece uma conexão PPP com o recurso remoto.

PAP define um handshake bidirecional para um usuário remoto iniciar o acesso remoto:

  1. o sistema remoto envia um nome de usuário e senha, repetindo a transmissão até que o servidor de acesso à rede responda.
  2. o servidor de acesso à rede transmite uma confirmação de autenticação se as credenciais forem autenticadas. Se as credenciais não forem autenticadas, o servidor de acesso à rede enviará uma confirmação negativa.

embora o PAP possa ser usado como um protocolo mínimo para permitir que um usuário remoto Inicie uma conexão de rede, o CHAP fornece um protocolo de autenticação mais seguro.

Leave a Reply