„Üks väheseid autentimisprotokolle, mis ei saada jagatud saladust kasutaja või juurdepääsu taotleva poole ja autentija vahel, on Challenge-Handshake Authentication (CHAP). See on punkt-punkti protokoll (PPP), mille on välja töötanud Internet Engineering Task Force (IETF). Eelkõige on see kasulik esmase lingi käivitamise ning ruuteri ja hosti vahelise suhtluse perioodiliste kontrollide ajal.
Seetõttu on CHAP identiteedi kontrollimise protokoll, mis töötab ilma kasutaja (juurdepääsu taotlev osapool) ja autentija (identiteeti kontrolliv osapool) vahel jagatud saladust või vastastikust saladust saatmata.
Kuigi see põhineb endiselt jagatud saladusel, saadab autentija kasutajale juurdepääsu taotlevale väljakutseteate, mitte jagatud saladust. Juurdepääsu taotlev osapool vastab väärtusega, mis arvutatakse tavaliselt ühesuunalise räsiväärtuse abil. Identiteeti kinnitav osapool kontrollib vastust oma arvutuse põhjal.
Autentimine õnnestub ainult siis, kui väärtused ühtivad. Autentimisprotsess aga nurjub, kui juurdepääsu taotlev osapool saadab autentija väärtusest erineva väärtuse. Ja isegi pärast edukat ühenduse autentimist võib autentija saata aeg-ajalt kasutajale väljakutse turvalisuse säilitamiseks, piirates võimalike rünnete kokkupuute aega.
Kuidas CHAP töötab
CHAP toimib järgmistes etappides:
1. Klient loob autentimist taotleva NAS-i (Network Access Server) PPP-lingi.
2. Saatja saadab juurdepääsu taotlevale poolele vaide.
3. Juurdepääsu taotlev osapool vastab väljakutsele MD5 ühesuunalise räsialgoritmi abil. Vastuses saadab klient kasutajanime koos väljakutse krüptimisega, kliendi parooli ja seansi ID.
4. Server (autentija) kontrollib vastust, võrreldes seda väljakutse alusel oodatava räsiväärtusega.
5. Kui väärtused ühtivad, loob server ühenduse. Siiski katkestab see ühenduse, kui väärtused ei ühti. Isegi ühenduse loomisel võib server nõuda kliendilt vastuse saatmist uutele väljakutsesõnumitele, kuna CHAP tuvastab muutusi sageli.
CHAPi 5 parimat omadust
CHAP-il on hulk funktsioone, mis eristavad selle teistest protokollidest. Funktsioonide hulka kuuluvad:
-
- Erinevalt TCP-st kasutab CHAP 3-suunalist käepigistuse protokolli. Autentija saadab kliendile väljakutse ja klient vastab ühesuunalise räsifunktsiooni abil. Autentija vastab vastusele selle arvutatud väärtuse põhjal ja lõpuks annab või keelab juurdepääsu.
- Klient kasutab MD5 ühesuunalist räsifunktsiooni.
- Server kontrollib aeg-ajalt ühendust ja saadab kasutajale väljakutseid, et tagada turvalisus ja minimeerida rünnakuid seansside ajal.
- CHAP küsib sageli vastastikuse saladuse selgesõnalist teksti.
- Muutujad muutuvad pidevalt, andes võrkudele suurema turvalisuse kui PAP.
4 erinevat CHAP-paketti
CHAP-autentimine kasutab järgmisi pakette:
-
- Väljakutse pakett- See on pakett, mille autentija saadab kliendile või juurdepääsu taotlevale poolele, kui klient loob PPP-lingi. See pakett algab 3-suunalise käepigistuse protokolli algusest. See sisaldab identifikaatori väärtust, välja juhusliku väärtuse jaoks ja välja autentija nime jaoks.
- Vastuste pakett- See on vastus, mille juurdepääsu taotlev osapool saadab autentijale tagasi. Sellel on väli Väärtus, mis sisaldab genereeritud ühesuunalist räsiväärtust, nimevälja ja identifikaatori väärtust. Kliendimasin seab paketi nimeväljale automaatselt parooli.
- Edu pakett - Server saadab õnnestunud paketi, kui kasutaja räsivastus ühtib serveri arvutatud väärtustega. Kui server saadab edupaketi, loob süsteem ühenduse.
- Rikkepakett – Server saadab veapaketi, kui genereeritud väärtus erineb. See tähendab ka seda, et ühendust ei teki.
CHAP-i konfigureerimine autentimis- ja kasutajamasinatel
CHAP-i seadistamisel on vajalikud järgmised sammud:
a. Käivitage allolevad käsud nii serveris/autentivas kui ka kasutajamasinas. Tavaliselt on need alati sarnased masinad.
b. Muutke mõlema masina hostinimesid, kasutades allolevat käsku. Sisestage käsk igasse peer-masinasse.
c. Lõpuks sisestage alloleva käsu abil iga masina kasutajanimi ja parool.
Järeldus
Nimelt kujundasid CHAPi arendajad CHAP-i selle protokolli, et kaitsta süsteeme taasesituse rünnakute eest, tagades, et juurdepääsu taotlev osapool kasutab järk-järgult muutuvat muutujat ja identifikaatorit. Lisaks kontrollib autentija kasutajale või juurdepääsu taotlevale poolele väljakutsete saatmise ajastust ja sagedust.