„A Challenge-Handshake Authentication (CHAP) azon kevés hitelesítési protokollok egyike, amelyek nem küldenek megosztott titkot a felhasználó vagy a hozzáférést kérő fél és a hitelesítő között. Ez egy Point-to-Point Protocol (PPP), amelyet az Internet Engineering Task Force, az IETF fejlesztett ki. Ez különösen hasznos a kapcsolat kezdeti indításakor, valamint az útválasztó és a gazdagép közötti kommunikáció időszakos ellenőrzésekor.
Ezért a CHAP egy olyan személyazonosság-ellenőrző protokoll, amely anélkül működik, hogy megosztott titkot vagy kölcsönös titkot küldene a felhasználó (hozzáférést kérő fél) és a hitelesítő (azonosságot ellenőrző fél) között.
Bár továbbra is megosztott titokon alapul, a hitelesítő kihívás üzenetet küld a hozzáférést kérő felhasználónak, nem pedig megosztott titkot. A hozzáférést kérő fél egy olyan értékkel válaszol, amelyet általában az egyirányú hash értékkel számítanak ki. A személyazonosságot igazoló fél a számítása alapján ellenőrzi a választ.
A hitelesítés csak akkor lesz sikeres, ha az értékek egyeznek. A hitelesítési folyamat azonban meghiúsul, ha a hozzáférést kérő fél a hitelesítő értékétől eltérő értéket küld. És még a sikeres kapcsolathitelesítés után is előfordulhat, hogy a hitelesítő időről időre kihívást küld a felhasználónak a biztonság fenntartása érdekében azáltal, hogy korlátozza a lehetséges támadások kitettségének idejét.”
Hogyan működik a CHAP
A CHAP a következő lépésekben működik:
1. Egy ügyfél PPP-kapcsolatot hoz létre egy hitelesítést kérő NAS-hoz (Network Access Server).
2. A feladó kihívást küld a hozzáférést kérő félnek.
3. A hozzáférést kérő fél az MD5 egyirányú hash algoritmus segítségével válaszol a kihívásra. A válaszban az ügyfél elküld egy felhasználónevet, a kihívás titkosításával, az ügyféljelszóval és a munkamenet-azonosítóval együtt.
4. A szerver (hitelesítő) ellenőrzi a választ úgy, hogy összehasonlítja azt a kihívás alapján várt hash értékkel.
5. A szerver kapcsolatot kezdeményez, ha az értékek egyeznek. Azonban megszakítja a kapcsolatot, ha az értékek nem egyeznek. A szerver még csatlakozáskor is kérheti a klienst, hogy küldjön választ az új kihívás üzenetekre, mivel a CHAP gyakran azonosítja a változásokat.
A CHAP 5 legjobb jellemzője
A CHAP számos olyan funkcióval rendelkezik, amelyek megkülönböztetik a többi protokolltól. A szolgáltatások közé tartozik:
-
- A TCP-vel ellentétben a CHAP 3-utas kézfogási protokollt használ. A hitelesítő kihívást küld az ügyfélnek, a kliens pedig egyirányú hash funkcióval válaszol. A hitelesítő a választ a számított értéke alapján egyezteti, és végül megadja vagy megtagadja a hozzáférést.
- A kliens MD5 egyirányú hash funkciót használ.
- A szerver időről időre ellenőrzi a kapcsolatot, és kihívásokat küld a felhasználónak, hogy garantálja a biztonságot és minimalizálja a támadásokat a munkamenetek során.
- A CHAP gyakran kéri a kölcsönös titok egyértelmű szövegét.
- A változók folyamatosan változnak, így a hálózatok nagyobb biztonságot nyújtanak, mint a PAP.
A 4 különböző CHAP-csomag
A CHAP hitelesítés a következő csomagokat használja:
-
- Kihívás csomag- Ez az a csomag, amelyet a hitelesítő elküld a kliensnek vagy a hozzáférést kérő félnek, miután az ügyfél létrehoz egy PPP-kapcsolatot. Ez a csomag a 3-utas kézfogási protokoll elején kezdődik. Tartalmaz egy azonosító értéket, egy mezőt a véletlenszerű értékhez és egy mezőt a hitelesítő nevéhez.
- Válaszcsomag- Ez az a válasz, amelyet a hozzáférést kérő fél visszaküld a hitelesítőnek. Van egy Érték mező, amely tartalmazza a generált egyirányú hash értéket, egy név mezőt és egy azonosító értéket. Az ügyfélgép automatikusan beállítja a csomag névmezőjét a jelszóra.
- Sikercsomag - A szerver sikeres csomagot küld, ha a felhasználó hash-válasza megegyezik a szerver által kiszámított értékekkel. Amint egy szerver sikeres csomagot küld, a rendszer kapcsolatot létesít.
- Hibacsomag – A szerver hibacsomagot küld, ha a generált érték eltér. Ez azt is jelenti, hogy nem lesz kapcsolat.
A CHAP konfigurálása hitelesítő és felhasználói gépeken
A CHAP konfigurálásakor a következő lépésekre van szükség:
a. Indítsa el az alábbi parancsokat mind a kiszolgáló/hitelesítő, mind a felhasználói gépeken. Általában ezek mindig egyenrangú gépek lesznek.
b. Módosítsa mindkét gép gazdagépnevét az alábbi paranccsal. Írja be a parancsot mindegyik peer gépbe.
c. Végül minden géphez adjon meg egy felhasználónevet és jelszót az alábbi paranccsal.
Következtetés
Nevezetesen, a CHAP által kifejlesztett CHAP fejlesztői úgy tervezték ezt a protokollt, hogy megvédje a rendszereket a lejátszási támadásoktól, biztosítva, hogy a hozzáférést kérő fél fokozatosan változó változót és azonosítót használjon. Ezenkívül a hitelesítő szabályozza a kihívások elküldésének időzítését és gyakoriságát a felhasználónak vagy a hozzáférést kérő félnek.