„Един от малкото протоколи за удостоверяване, които не изпращат споделена тайна между потребителя или страната, искаща достъп, и удостоверителя, е Challenge-Handshake Authentication (CHAP). Това е протокол от точка до точка (PPP), разработен от Internet Engineering Task Force, IETF. По-специално, той е полезен при първоначално стартиране на връзката и периодични проверки на комуникацията между рутера и хоста.
Следователно CHAP е протокол за проверка на самоличността, който работи без изпращане на споделена тайна или взаимна тайна между потребителя (страна, искаща достъп) и автентификатора (страна, проверяваща самоличността).
Въпреки че все още се основава на споделена тайна, удостоверителят изпраща предизвикателно съобщение до потребителя, което иска достъп, а не споделена тайна. Страната, поискала достъп, ще отговори със стойност, която обикновено се изчислява с помощта на еднопосочната хеш стойност. Страната, удостоверяваща самоличността, ще провери отговора въз основа на своето изчисление.
Удостоверяването ще бъде успешно само ако стойностите съвпадат. Въпреки това, процесът на удостоверяване ще се провали, ако страната, поискала достъп, изпрати стойност, различна от тази на удостоверителя. И дори след успешно удостоверяване на връзката, автентификаторът може да изпраща предизвикателство към потребителя от време на време, за да поддържа сигурността, като ограничава времето на излагане на възможни атаки.
Как работи CHAP
CHAP работи в следните стъпки:
1. Клиент установява PPP връзка към NAS (Сървър за мрежов достъп), като иска удостоверяване.
2. Подателят изпраща предизвикателство до искащата достъп страна.
3. Страната, поискала достъп, отговаря на предизвикателството, използвайки MD5 еднопосочен алгоритъм за хеширане. В отговора клиентът ще изпрати потребителско име, заедно с криптиране на предизвикателството, клиентската парола и идентификатора на сесията.
4. Сървърът (удостоверителят) ще провери отговора, като го сравни с очакваната хеш стойност въз основа на неговото предизвикателство.
5. Сървърът инициира връзка, ако стойностите съвпадат. Въпреки това, той ще прекрати връзката, ако стойностите не съвпадат. Дори при свързване сървърът все още може да поиска от клиента да изпрати отговор на нови съобщения за предизвикателство, тъй като CHAP често идентифицира промяната.
Топ 5 характеристики на CHAP
CHAP има набор от функции, които го правят различен от другите протоколи. Характеристиките включват:
-
- За разлика от TCP, CHAP използва 3-посочен протокол за ръкостискане. Удостоверителят изпраща предизвикателство до клиента и клиентът отговаря, използвайки еднопосочна хеш функция. Удостоверителят съпоставя отговора въз основа на неговата изчислена стойност и накрая предоставя или отказва достъп.
- Клиентът използва MD5 еднопосочна хеш функция.
- Сървърът проверява връзката от време на време и изпраща предизвикателства към потребителя, за да гарантира сигурността и да минимизира атаките по време на сесии.
- CHAP често иска ясен текст на общата тайна.
- Променливите се променят непрекъснато, давайки на мрежите повече сигурност от PAP.
4-те различни CHAP пакета
CHAP удостоверяването използва следните пакети:
-
- Пакет с предизвикателства - Това е пакетът, който автентификаторът изпраща на клиента или страната, поискала достъп, след като клиентът създаде PPP връзка. Този пакет започва в началото на 3-посочния протокол за ръкостискане. Той съдържа стойност на идентификатор, поле за произволна стойност и поле за името на удостоверителя.
- Отговорен пакет- Това е отговорът, който страната, поискала достъп, изпраща обратно на автентификатора. Той има поле за стойност, съдържащо генерираната еднопосочна хеш стойност, поле за име и стойност на идентификатор. Клиентската машина автоматично ще зададе паролата в полето за име на пакета.
- Пакет за успех - Сървърът ще изпрати успешен пакет, ако хеш отговорът на потребителя съответства на стойностите, изчислени от сървъра. След като сървърът изпрати успешен пакет, системата ще установи връзка.
- Пакет за грешка – Сървърът изпраща пакет за грешка, ако генерираната стойност се различава. Това също означава, че няма да има връзка.
Конфигуриране на CHAP на удостоверяващи и потребителски машини
Следните стъпки са необходими, когато конфигурирате CHAP:
а. Инициирайте командите по-долу както на сървъра/удостоверяващите, така и на потребителските машини. Обикновено това винаги ще бъдат равноправни машини.
b. Променете имената на хостовете на двете машини, като използвате командата по-долу. Въведете командата във всяка от равностойните машини.
° С. И накрая, предоставете потребителско име и парола за всяка машина, като използвате командата по-долу.
Заключение
По-специално, разработчиците на CHAP разработиха CHAP, проектирали този протокол за защита на системите срещу атаки при възпроизвеждане, като гарантират, че страната, искаща достъп, използва постепенно променяща се променлива и идентификатор. Освен това автентификаторът контролира времето и честотата на изпращане на предизвикателства до потребител или страна, искаща достъп.