CHAP (Challenge-Handshake Authentication Protocol)

ce este CHAP (Challenge-Handshake Authentication Protocol)?

CHAP (Challenge-Handshake Authentication Protocol) este o metodă de autentificare a provocării și răspunsului pe care serverele Point-to-Point Protocol (PPP) o folosesc pentru a verifica identitatea unui utilizator la distanță. Autentificarea CHAP începe după ce utilizatorul la distanță inițiază o legătură PPP.

CHAP permite utilizatorilor de la distanță să se identifice într-un sistem de autentificare, fără a-și expune parola. Cu CHAP, sistemele de autentificare folosesc un secret comun-parola – pentru a crea un hash criptografic folosind algoritmul MD5 message digest.

CHAP folosește o strângere de mână cu trei căi pentru a verifica și autentifica identitatea utilizatorului, în timp ce protocolul de autentificare a parolei (PAP) folosește o strângere de mână bidirecțională pentru autentificare între utilizatorul la distanță și serverul PPP.

conceput pentru a fi utilizat cu PPP pentru autentificarea utilizatorilor la distanță, CHAP este aplicat periodic în timpul unei sesiuni la distanță pentru a reautentifica utilizatorul. PAP și CHAP sunt destinate în principal conexiunilor la distanță prin linii dial-up sau circuite comutate, precum și pentru legături dedicate.

PAP și CHAP sunt utilizate în mod obișnuit pentru negocierea unei conexiuni de rețea la un furnizor de servicii de internet. CHAP este specificat în cerere de comentarii 1994.

cum funcționează CHAP?

Iată cum funcționează CHAP:

1. după realizarea legăturii, serverul trimite un mesaj de provocare solicitantului de conexiune.
2. solicitantul răspunde cu o valoare obținută utilizând o funcție hash unidirecțională cunoscută sub numele de MD5.
3. serverul verifică răspunsul comparându-l cu propriul calcul al valorii hash așteptate. Dacă valorile se potrivesc, autentificarea este recunoscută; în caz contrar, conexiunea este de obicei terminată.

serverul poate trimite o nouă provocare către solicitant la întâmplare în timpul sesiunii pentru a reautentifica solicitantul. Pașii de la 1 la 3 sunt apoi repetați.

în orice moment, serverul poate solicita părții conectate să trimită un nou mesaj de provocare. Deoarece identificatorii CHAP sunt modificați frecvent și autentificarea poate fi solicitată de server în orice moment, CHAP oferă mai multă securitate decât PAP.

tipuri de pachete CHAP

PPP Transportă pachete CHAP între autentificator și solicitant. Pachetele CHAP constau dintr-un antet, care include următoarele:

• câmp de cod, care conține un cod de opt biți care identifică tipul de pachet CHAP trimis-valorile valide sunt de la 1 la 4;
• câmp de identificare, care este un ID arbitrar de opt biți care identifică pachetul ca aparținând unei secvențe de autentificare;
• câmp de lungime, care conține numărul de octeți din pachetul CHAP; și
• câmp de date, care include orice date sau prezentate și valori în funcție de tipul de pachet cap este transportat în.

CHAP funcționează cu patru tipuri diferite de pachete. Fiecare pachet este identificat prin valoarea câmpului său de cod, după cum urmează:

1. sistemul de autentificare-de obicei un server de acces la rețea sau comutator-trimite un pachet de provocare CHAP pentru a începe procesul de autentificare. După inițierea unei sesiuni PPP, sistemul sau rețeaua accesată poate solicita autentificarea utilizatorului la distanță. Provocarea include numele de gazdă al autentificatorului.
2. sistemul utilizatorului de la distanță trebuie să trimită un pachet de răspuns CHAP ca răspuns la o provocare. Sistemul de la distanță trimite un hash securizat bazat pe parola utilizatorului de la distanță în pachetul de răspuns. Autentificatorul compară hash-ul parolei utilizatorului cu valoarea așteptată. Utilizatorul la distanță este autentificat dacă se potrivesc; în caz contrar, autentificarea eșuează.
3. sistemul de autentificare-serverul de acces la rețea-trimite un pachet de succes CHAP dacă hash-ul utilizatorului de la distanță se potrivește cu hash-ul așteptat de server.
4. sistemul de autentificare trimite un pachet de erori CHAP dacă hash-ul parolei utilizatorului la distanță nu se potrivește cu valoarea trimisă de utilizator.

dacă sistemul de la distanță nu răspunde la un pachet de provocare, autentificatorul poate repeta procesul. Autentificatorul termină accesul utilizatorului la distanță dacă nu se poate autentifica.

cap vs. PAP

CHAP este o procedură mai sigură pentru conectarea la un sistem decât PAP.

schemele de autentificare PAP și CHAP au fost inițial specificate pentru autentificarea utilizatorilor la distanță care se conectează la rețele sau sisteme care utilizează PPP. Protocolul de strângere de mână cu trei căi al lui CHAP oferă o protecție mai puternică împotriva ghicirii parolei și a atacurilor de ascultare decât strângerea de mână bidirecțională a lui PAP.

autentificarea cu PAP necesită utilizatorului de la distanță să-și prezinte numele de utilizator și parola, iar sistemul de autentificare permite sau refuză accesul utilizatorului pe baza acestor acreditări.

CHAP asigură procesul de autentificare utilizând un protocol mai sofisticat. CHAP implementează un protocol de strângere de mână cu trei căi pentru a fi utilizat după ce gazda stabilește o conexiune PPP cu resursa la distanță.

PAP definește o strângere de mână bidirecțională pentru ca un utilizator la distanță să inițieze accesul la distanță:

1. sistemul de la distanță trimite un nume de utilizator și o parolă, repetând transmisia până când serverul de acces la rețea răspunde.
2. serverul de acces la rețea transmite o confirmare de autentificare dacă acreditările sunt autentificate. Dacă acreditările nu sunt autentificate, serverul de acces la rețea trimite o confirmare negativă.

în timp ce PAP poate fi folosit ca un protocol minim pentru a permite unui utilizator la distanță să inițieze o conexiune la rețea, CHAP oferă un protocol de autentificare mai sigur.