„Jednym z niewielu protokołów uwierzytelniania, które nie wysyłają wspólnego sekretu między użytkownikiem lub stroną żądającą dostępu a stroną uwierzytelniającą, jest uwierzytelnianie typu Challenge-Handshake (CHAP). Jest to protokół Point-to-Point (PPP) opracowany przez Internet Engineering Task Force, IETF. W szczególności przydaje się podczas początkowego uruchamiania łącza i okresowych kontroli komunikacji między routerem a hostem.
Dlatego CHAP jest protokołem weryfikacji tożsamości, który działa bez wysyłania wspólnego sekretu lub wspólnego sekretu między użytkownikiem (stroną żądającą dostępu) a uwierzytelniającym (stroną weryfikującą tożsamość).
Chociaż nadal opiera się na wspólnym kluczu tajnym, uwierzytelniający wysyła wiadomość wezwania do użytkownika żądającego dostępu, a nie współdzielonego klucza tajnego. Strona żądająca dostępu odpowie wartością zwykle obliczoną przy użyciu jednokierunkowej wartości skrótu. Strona weryfikująca tożsamość sprawdzi odpowiedź na podstawie swoich obliczeń.
Uwierzytelnianie zakończy się pomyślnie tylko wtedy, gdy wartości będą zgodne. Jednak proces uwierzytelniania zakończy się niepowodzeniem, jeśli strona żądająca dostępu wyśle wartość inną niż wartość uwierzytelniacza. A nawet po pomyślnym uwierzytelnieniu połączenia, osoba uwierzytelniająca może od czasu do czasu wysłać użytkownikowi wyzwanie, aby zachować bezpieczeństwo poprzez ograniczenie czasu narażenia na możliwe ataki.”
Jak działa CHAP
CHAP działa w następujących krokach:
1. Klient ustanawia łącze PPP do NAS (Network Access Server) żądając uwierzytelnienia.
2. Nadawca wysyła wyzwanie do strony wnioskującej o dostęp.
3. Strona żądająca dostępu odpowiada na wyzwanie za pomocą jednokierunkowego algorytmu mieszającego MD5. W odpowiedzi klient wyśle nazwę użytkownika wraz z szyfrowaniem wyzwania, hasło klienta i identyfikator sesji.
4. Serwer (uwierzytelniający) sprawdzi odpowiedź, porównując ją z oczekiwaną wartością skrótu w oparciu o wyzwanie.
5. Serwer inicjuje połączenie, jeśli wartości są zgodne. Jeśli jednak wartości się nie zgadzają, połączenie zostanie przerwane. Nawet po połączeniu serwer może nadal żądać od klienta wysłania odpowiedzi na nowe komunikaty wezwania, ponieważ protokół CHAP często identyfikuje zmiany.
5 najważniejszych cech CHAP
Protokół CHAP ma szereg funkcji, które odróżniają go od innych protokołów. Funkcje obejmują:
-
- W przeciwieństwie do TCP, CHAP używa protokołu uzgadniania trójstronnego. Uwierzytelniający wysyła wyzwanie do klienta, a klient odpowiada za pomocą jednokierunkowej funkcji mieszającej. Moduł uwierzytelniający dopasowuje odpowiedź na podstawie obliczonej wartości i ostatecznie udziela lub odmawia dostępu.
- Klient używa jednokierunkowej funkcji skrótu MD5.
- Serwer od czasu do czasu sprawdza połączenie i wysyła użytkownikowi wyzwania, aby zagwarantować bezpieczeństwo i zminimalizować ataki podczas sesji.
- CHAP często prosi o jawny tekst wspólnej tajemnicy.
- Zmienne zmieniają się w sposób ciągły, dając sieciom większe bezpieczeństwo niż PAP.
4 różne pakiety CHAP
Uwierzytelnianie CHAP wykorzystuje następujące pakiety:
-
- Pakiet wyzwań- Jest to pakiet, który strona uwierzytelniająca wysyła do klienta lub strony żądającej dostępu po utworzeniu przez klienta łącza PPP. Ten pakiet rozpoczyna się na początku protokołu uzgadniania trójstronnego. Zawiera wartość identyfikatora, pole na wartość losową oraz pole na nazwę osoby uwierzytelniającej.
- Pakiet odpowiedzi- Jest to odpowiedź, którą strona żądająca dostępu wysyła z powrotem do wystawcy uwierzytelnienia. Ma pole Wartość zawierające wygenerowaną jednokierunkową wartość skrótu, pole nazwy i wartość identyfikatora. Maszyna klienta automatycznie ustawi pole nazwy pakietu na hasło.
- Pakiet sukcesu- Serwer wyśle pakiet sukcesu, jeśli odpowiedź użytkownika na hash jest zgodna z wartościami obliczonymi przez serwer. Gdy serwer wyśle pakiet powodzenia, system nawiąże połączenie.
- Pakiet awarii – Serwer wysyła pakiet błędu, jeśli wygenerowana wartość jest inna. Oznacza to również, że nie będzie połączenia.
Konfiguracja CHAP na maszynach uwierzytelniających i użytkowników
Podczas konfigurowania CHAP konieczne są następujące kroki:
a. Zainicjuj poniższe polecenia zarówno na serwerze/uwierzytelniającym, jak i na komputerze użytkownika. Zwykle będą to zawsze maszyny równorzędne.
b. Zmień nazwy hostów obu komputerów za pomocą poniższego polecenia. Wpisz polecenie w każdej z równorzędnych maszyn.
c. Na koniec podaj nazwę użytkownika i hasło dla każdego komputera, używając poniższego polecenia.
Wniosek
Warto zauważyć, że twórcy protokołu CHAP opracowali protokół CHAP, który zaprojektował ten protokół w celu ochrony systemów przed atakami związanymi z odtwarzaniem, zapewniając, że strona żądająca dostępu używa stopniowo zmieniającej się zmiennej i identyfikatora. Poza tym, uwierzytelniający kontroluje czas i częstotliwość wysyłania wezwania do użytkownika lub strony żądającej dostępu.