„Jedným z mála autentifikačných protokolov, ktoré neposielajú zdieľané tajomstvo medzi používateľom alebo stranou požadujúcou prístup a autentifikátorom, je Challenge-Handshake Authentication (CHAP). Ide o protokol Point-to-Point Protocol (PPP) vyvinutý organizáciou Internet Engineering Task Force, IETF. Je to užitočné najmä pri počiatočnom spustení spojenia a pri pravidelných kontrolách komunikácie medzi smerovačom a hostiteľom.
Preto je CHAP protokol overovania identity, ktorý funguje bez odosielania zdieľaného tajomstva alebo vzájomného tajomstva medzi používateľom (strana požadujúca prístup) a autentifikátorom (strana overujúca identitu).
Zatiaľ čo je to stále založené na zdieľanom tajomstve, autentifikátor odošle používateľovi výzvu so žiadosťou o prístup a nie zdieľané tajomstvo. Strana požadujúca prístup odpovie hodnotou, ktorá sa zvyčajne vypočíta pomocou jednosmernej hašovacej hodnoty. Strana overujúca identitu skontroluje odpoveď na základe jej výpočtu.
Autentifikácia bude úspešná iba vtedy, ak sa hodnoty zhodujú. Proces autentifikácie však zlyhá, ak strana žiadajúca o prístup pošle hodnotu odlišnú od hodnoty autentifikátora. A dokonca aj po úspešnej autentifikácii pripojenia môže autentifikátor z času na čas poslať používateľovi výzvu, aby zachoval bezpečnosť obmedzením času vystavenia možným útokom.“
Ako funguje CHAP
CHAP funguje v nasledujúcich krokoch:
1. Klient vytvorí PPP spojenie s NAS (Network Access Server) so žiadosťou o autentifikáciu.
2. Odosielateľ pošle výzvu strane žiadajúcej o prístup.
3. Strana požadujúca prístup odpovie na výzvu pomocou jednosmerného hashovacieho algoritmu MD5. V odpovedi klient pošle používateľské meno spolu so zašifrovaním výzvy, heslom klienta a ID relácie.
4. Server (autentizátor) skontroluje odpoveď porovnaním s očakávanou hodnotou hash na základe výzvy.
5. Server inicializuje spojenie, ak sa hodnoty zhodujú. Ak sa však hodnoty nezhodujú, spojenie ukončí. Dokonca aj po pripojení môže server stále požiadať klienta, aby poslal odpoveď na nové výzvy, pretože CHAP často identifikuje zmeny.
Top 5 charakteristík CHAP
CHAP má množstvo funkcií, ktoré ho odlišujú od iných protokolov. Medzi funkcie patrí:
-
- Na rozdiel od TCP, CHAP používa 3-way handshaking protokol. Autentizátor odošle klientovi výzvu a klient odpovie pomocou jednosmernej hašovacej funkcie. Autentifikátor porovná odpoveď na základe jej vypočítanej hodnoty a nakoniec povolí alebo zamietne prístup.
- Klient používa jednosmernú hašovaciu funkciu MD5.
- Server z času na čas kontroluje pripojenie a posiela používateľovi výzvy, aby zaručil bezpečnosť a minimalizoval útoky počas relácií.
- CHAP často žiada o otvorený text vzájomného tajomstva.
- Premenné sa neustále menia, čím poskytujú siete väčšiu bezpečnosť ako PAP.
4 rôzne pakety CHAP
Autentifikácia CHAP používa nasledujúce pakety:
-
- Výzva - Toto je paket, ktorý autentifikátor odošle klientovi alebo strane požadujúcej prístup, keď klient vytvorí prepojenie PPP. Tento paket začína na začiatku 3-cestného protokolu handshaking. Obsahuje hodnotu identifikátora, pole pre náhodnú hodnotu a pole pre meno overovateľa.
- Paket odpovede- Toto je odpoveď, ktorú strana požadujúca prístup pošle späť do autentifikátora. Má pole Hodnota obsahujúce vygenerovanú jednosmernú hodnotu hash, pole názvu a hodnotu identifikátora. Klientsky počítač automaticky nastaví pole názvu paketu na heslo.
- Úspešný balík - Server odošle úspešný paket, ak sa hashová odpoveď používateľa zhoduje s hodnotami vypočítanými serverom. Akonáhle server odošle úspešný paket, systém vytvorí spojenie.
- Balík zlyhania – Server odošle paket zlyhania, ak sa vygenerovaná hodnota líši. To tiež znamená, že nebude existovať žiadne spojenie.
Konfigurácia CHAP na autentifikačných a používateľských počítačoch
Pri konfigurácii CHAP sú potrebné nasledujúce kroky:
a. Spustite nižšie uvedené príkazy na serveroch/overovacích aj používateľských počítačoch. Zvyčajne to budú vždy rovnocenné stroje.
b. Zmeňte názvy hostiteľov oboch počítačov pomocou nižšie uvedeného príkazu. Zadajte príkaz na každom z rovnocenných počítačov.
c. Nakoniec zadajte používateľské meno a heslo pre každý počítač pomocou nižšie uvedeného príkazu.
Záver
Vývojári CHAP vyvinuli protokol CHAP, ktorý navrhli tento protokol na ochranu systémov pred útokmi na prehrávanie zabezpečením toho, že strana požadujúca prístup používa postupne sa meniacu premennú a identifikátor. Okrem toho, autentifikátor riadi načasovanie a frekvenciu odosielania výziev používateľovi alebo strane požadujúcej prístup.