„Jedním z mála ověřovacích protokolů, které neposílají sdílené tajemství mezi uživatelem nebo stranou žádající o přístup a ověřovatelem, je Challenge-Handshake Authentication (CHAP). Jedná se o protokol Point-to-Point Protocol (PPP) vyvinutý organizací Internet Engineering Task Force, IETF. Zejména se hodí při počátečním spouštění linky a pravidelných kontrolách komunikace mezi routerem a hostitelem.
Proto je CHAP protokol pro ověřování identity, který funguje bez odesílání sdíleného tajemství nebo vzájemného tajemství mezi uživatelem (strana žádající o přístup) a ověřovatelem (strana ověřující identitu).
I když je stále založeno na sdíleném tajném klíči, ověřovatel odešle uživateli výzvu s žádostí o přístup, nikoli sdílený tajný klíč. Strana žádající o přístup odpoví hodnotou obvykle vypočítanou pomocí jednosměrné hašovací hodnoty. Strana ověřující identitu zkontroluje odpověď na základě svého výpočtu.
Autentizace bude úspěšná pouze v případě, že se hodnoty shodují. Proces ověřování se však nezdaří, pokud strana žádající o přístup odešle hodnotu odlišnou od hodnoty ověřovatele. A dokonce i po úspěšné autentizaci připojení může autentizátor čas od času odeslat výzvu uživateli, aby zachoval bezpečnost omezením doby vystavení možným útokům.“
Jak CHAP funguje
CHAP funguje v následujících krocích:
1. Klient vytvoří spojení PPP s NAS (Network Access Server) s požadavkem na ověření.
2. Odesílatel zašle výzvu straně žádající o přístup.
3. Strana žádající o přístup odpoví na výzvu pomocí jednosměrného hashovacího algoritmu MD5. V odpovědi klient odešle uživatelské jméno spolu se zašifrováním výzvy, heslem klienta a ID relace.
4. Server (autentizátor) zkontroluje odpověď tak, že ji porovná s očekávanou hodnotou hash na základě své výzvy.
5. Pokud se hodnoty shodují, server zahájí připojení. Pokud se však hodnoty neshodují, spojení ukončí. I po připojení může server stále požádat klienta o zaslání odpovědi na nové výzvy, protože CHAP často identifikuje změny.
Top 5 charakteristik CHAP
CHAP má řadu funkcí, které jej odlišují od ostatních protokolů. Mezi funkce patří:
-
- Na rozdíl od TCP používá CHAP protokol 3-way handshaking. Autentizátor odešle klientovi výzvu a klient odpoví pomocí jednosměrné hashovací funkce. Autentizátor odpovídá odpovědi na základě její vypočítané hodnoty a nakonec povolí nebo zamítne přístup.
- Klient používá jednosměrnou hashovací funkci MD5.
- Server čas od času kontroluje připojení a odesílá výzvy uživateli, aby zaručil bezpečnost a minimalizoval útoky během relací.
- CHAP často žádá o prostý text vzájemného tajemství.
- Proměnné se neustále mění a poskytují sítím větší bezpečnost než PAP.
4 různé pakety CHAP
Ověřování CHAP používá následující pakety:
-
- Výzva - Toto je paket, který ověřovatel odešle klientovi nebo straně žádající o přístup, jakmile klient vytvoří propojení PPP. Tento paket začíná na začátku protokolu 3-way handshaking. Obsahuje hodnotu identifikátoru, pole pro náhodnou hodnotu a pole pro jméno ověřovatele.
- Paket odpovědi- Toto je odpověď, kterou strana žádající o přístup odešle zpět autentizátorovi. Má pole Hodnota obsahující vygenerovanou jednosměrnou hodnotu hash, pole názvu a hodnotu identifikátoru. Klientský počítač automaticky nastaví pole názvu paketu na heslo.
- Úspěšný balíček - Server odešle úspěšný paket, pokud odpověď uživatele hash odpovídá hodnotám vypočítaným serverem. Jakmile server odešle úspěšný paket, systém naváže spojení.
- Balíček selhání – Server odešle paket selhání, pokud se vygenerovaná hodnota liší. To také znamená, že nebude existovat žádné spojení.
Konfigurace CHAP na ověřovacích a uživatelských počítačích
Při konfiguraci CHAP jsou nutné následující kroky:
A. Spusťte níže uvedené příkazy na serveru/ověřovacím i uživatelském počítači. Obvykle to budou vždy rovnocenné stroje.
b. Změňte názvy hostitelů obou počítačů pomocí níže uvedeného příkazu. Zadejte příkaz v každém z rovnocenných počítačů.
C. Nakonec zadejte uživatelské jméno a heslo pro každý počítač pomocí níže uvedeného příkazu.
Závěr
Vývojáři protokolu CHAP vyvinuli protokol CHAP, který tento protokol navrhli k ochraně systémů před útoky při přehrávání tím, že zajistí, aby strana žádající o přístup používala postupně se měnící proměnnou a identifikátor. Kromě toho ověřovatel řídí načasování a frekvenci odesílání výzev uživateli nebo straně žádající o přístup.