„Vienas iš nedaugelio autentifikavimo protokolų, kurie nesiunčia bendros paslapties tarp vartotojo ar prieigos prašančios šalies ir autentifikatoriaus, yra Challenge-Handshake Authentication (CHAP). Tai yra taškas į tašką protokolas (PPP), sukurtas Internet Engineering Task Force, IETF. Pažymėtina, kad tai praverčia pradinio ryšio paleidimo metu ir periodiškai tikrinant ryšį tarp maršrutizatoriaus ir pagrindinio kompiuterio.
Todėl CHAP yra tapatybės tikrinimo protokolas, kuris veikia nesiunčiant bendros paslapties ar abipusės paslapties tarp vartotojo (prieigos prašančios šalies) ir autentifikatoriaus (tapatybę patvirtinančios šalies).
Nors jis vis dar pagrįstas bendra paslaptimi, autentifikavimo priemonė vartotojui siunčia iššūkio pranešimą, prašantį prieigos, o ne bendrinamą paslaptį. Prieigos prašanti šalis atsakys pateikdama vertę, paprastai apskaičiuojamą naudojant vienpusės maišos reikšmę. Tapatybę patvirtinanti šalis patikrins atsakymą pagal savo skaičiavimus.
Autentifikavimas bus sėkmingas tik tuo atveju, jei reikšmės sutaps. Tačiau autentifikavimo procesas nepavyks, jei prieigos prašanti šalis atsiųs kitokią reikšmę nei autentifikatoriaus. Ir net po sėkmingo ryšio autentifikavimo, autentifikatorius gali retkarčiais išsiųsti iššūkį vartotojui, kad išlaikytų saugumą, apribodamas galimų atakų poveikio laiką.
Kaip veikia CHAP
CHAP veikia šiais veiksmais:
1. Klientas sukuria PPP nuorodą į NAS (tinklo prieigos serverį), prašydamas autentifikuoti.
2. Siuntėjas siunčia iššūkį prieigos prašančiai šaliai.
3. Prieigos prašanti šalis atsako į iššūkį naudodama MD5 vienpusio maišos algoritmą. Atsakydamas klientas atsiųs vartotojo vardą kartu su iššūkio šifravimu, kliento slaptažodį ir seanso ID.
4. Serveris (autentifikatorius) patikrins atsakymą, palygindamas jį su numatoma maišos reikšme, pagrįsta jo iššūkiu.
5. Jei reikšmės sutampa, serveris inicijuoja ryšį. Tačiau jis nutrauks ryšį, jei reikšmės nesutaps. Net ir prisijungus, serveris vis tiek gali paprašyti kliento išsiųsti atsakymą į naujus iššūkio pranešimus, nes CHAP dažnai nustato pokyčius.
5 geriausios CHAP charakteristikos
CHAP turi daugybę funkcijų, kurios skiriasi nuo kitų protokolų. Funkcijos apima:
-
- Skirtingai nuo TCP, CHAP naudoja 3 krypčių rankų paspaudimo protokolą. Autentifikatorius siunčia iššūkį klientui, o klientas atsako naudodamas vienpusę maišos funkciją. Autentifikatorius atitinka atsakymą pagal jo apskaičiuotą vertę ir galiausiai suteikia arba atmeta prieigą.
- Klientas naudoja MD5 vienos krypties maišos funkciją.
- Serveris kartkartėmis tikrina ryšį ir siunčia iššūkius vartotojui, kad garantuotų saugumą ir sumažintų atakas seansų metu.
- CHAP dažnai prašo aiškaus abipusės paslapties teksto.
- Kintamieji nuolat keičiasi, todėl tinklams suteikiama daugiau saugumo nei PAP.
4 skirtingi CHAP paketai
CHAP autentifikavimui naudojami šie paketai:
-
- Iššūkių paketas - Tai yra paketas, kurį autentifikatorius siunčia klientui arba prieigos prašančiai šaliai, kai klientas sukuria PPP nuorodą. Šis paketas prasideda 3 krypčių rankų paspaudimo protokolo pradžioje. Jame yra identifikatoriaus reikšmė, laukas atsitiktinei vertei ir laukas autentifikatoriaus vardui.
- Atsakymų paketas - Tai atsakymas, kurį prieigos prašanti šalis siunčia atgal autentifikatoriui. Jame yra reikšmės laukas, kuriame yra sugeneruota vienkryptė maišos reikšmė, pavadinimo laukas ir identifikatoriaus reikšmė. Kliento įrenginys automatiškai nustatys paketo pavadinimo lauką į slaptažodį.
- Sėkmės paketas - Serveris išsiųs sėkmingą paketą, jei vartotojo maišos atsakymas atitiks serverio apskaičiuotas reikšmes. Kai serveris išsiųs sėkmingą paketą, sistema užmegs ryšį.
- Gedimų paketas – Jei sugeneruota vertė skiriasi, serveris siunčia gedimo paketą. Tai taip pat reiškia, kad ryšio nebus.
CHAP konfigūravimas autentifikavimo ir vartotojo įrenginiuose
Konfigūruojant CHAP reikia atlikti šiuos veiksmus:
a. Inicijuokite toliau pateiktas komandas tiek serverio / autentifikavimo, tiek vartotojo įrenginiuose. Paprastai tai visada bus lygiavertės mašinos.
b. Pakeiskite abiejų mašinų prieglobos pavadinimus naudodami toliau pateiktą komandą. Įveskite komandą kiekvienoje lygiavertėje mašinoje.
c. Galiausiai, naudodami toliau pateiktą komandą, kiekvienam įrenginiui pateikite vartotojo vardą ir slaptažodį.
Išvada
Pažymėtina, kad CHAP sukurto CHAP kūrėjai sukūrė šį protokolą, kad apsaugotų sistemas nuo atkūrimo atakų, užtikrinant, kad prieigos prašanti šalis naudotų laipsniškai besikeičiantį kintamąjį ir identifikatorių. Be to, autentifikavimo priemonė kontroliuoja iššūkių siuntimo vartotojui arba prieigos prašančiai šaliai laiką ir dažnumą.