«Один из немногих протоколов аутентификации, которые не отправляют общий секрет между пользователем или стороной, запрашивающей доступ, и аутентификатором, — это аутентификация вызовом-рукопожатием (CHAP). Это протокол «точка-точка» (PPP), разработанный Инженерной группой Интернета, IETF. В частности, это удобно при первоначальном запуске канала и периодических проверках связи между маршрутизатором и хостом.
Таким образом, CHAP является протоколом проверки личности, который работает без отправки общего секрета или взаимного секрета между пользователем (стороной, запрашивающей доступ) и аутентификатором (стороной, проверяющей личность).
Хотя он по-прежнему основан на общем секрете, аутентификатор отправляет запрос пользователю, запрашивающему доступ, а не общий секрет. Сторона, запрашивающая доступ, ответит значением, обычно вычисляемым с использованием одностороннего хеш-значения. Сторона, проверяющая личность, проверит ответ на основе своего расчета.
Аутентификация будет успешной только в том случае, если значения совпадают. Однако процесс аутентификации завершится ошибкой, если сторона, запрашивающая доступ, отправит значение, отличное от значения аутентификатора. И даже после успешной аутентификации соединения аутентификатор может время от времени отправлять пользователю вызов для поддержания безопасности, ограничивая время воздействия возможных атак».
Как работает ЧАП
CHAP работает в следующие этапы:
1. Клиент устанавливает связь PPP с NAS (сервером доступа к сети), запрашивая аутентификацию.
2. Отправитель отправляет вызов стороне, запрашивающей доступ.
3. Сторона, запрашивающая доступ, отвечает на запрос, используя алгоритм одностороннего хеширования MD5. В ответ клиент отправит имя пользователя, а также шифрование запроса, пароль клиента и идентификатор сеанса.
4. Сервер (аутентификатор) проверит ответ, сравнив его с ожидаемым значением хеш-функции на основе своего запроса.
5. Сервер инициирует соединение, если значения совпадают. Однако он разорвет соединение, если значения не совпадают. Даже при подключении сервер может запросить у клиента отправку ответа на новые сообщения о вызовах, поскольку CHAP часто идентифицирует изменения.
5 основных характеристик CHAP
CHAP имеет ряд особенностей, отличающих его от других протоколов. Особенности включают в себя:
-
- В отличие от TCP, CHAP использует трехсторонний протокол квитирования. Аутентификатор отправляет вызов клиенту, и клиент отвечает, используя одностороннюю хеш-функцию. Аутентификатор сопоставляет ответ на основе его вычисленного значения и, наконец, предоставляет или отказывает в доступе.
- Клиент использует одностороннюю хеш-функцию MD5.
- Сервер время от времени проверяет соединение и отправляет пользователю вызовы, чтобы гарантировать безопасность и минимизировать атаки во время сеансов.
- CHAP часто запрашивает открытый текст общего секрета.
- Переменные постоянно меняются, что дает сетям большую безопасность, чем PAP.
4 разных пакета CHAP
Аутентификация CHAP использует следующие пакеты:
-
- Пакет испытаний- Это пакет, который аутентификатор отправляет клиенту или стороне, запрашивающей доступ, как только клиент создает ссылку PPP. Этот пакет начинается в начале протокола трехэтапного квитирования. Он содержит значение идентификатора, поле для случайного значения и поле для имени аутентификатора.
- Ответный пакет- Это ответ, который сторона, запрашивающая доступ, отправляет обратно аутентификатору. Он имеет поле «Значение», содержащее сгенерированное одностороннее хеш-значение, поле имени и значение идентификатора. Клиентская машина автоматически установит пароль в поле имени пакета.
- Пакет успеха- Сервер отправит пакет успеха, если хеш-ответ пользователя соответствует значениям, рассчитанным сервером. Как только сервер отправит пакет успеха, система установит соединение.
- Пакет отказа – Сервер отправляет пакет отказа, если сгенерированное значение отличается. Это также означает, что связи не будет.
Настройка CHAP на аутентификационных и пользовательских компьютерах
При настройке CHAP необходимо выполнить следующие шаги:
а. Инициируйте приведенные ниже команды как на сервере/аутентифицирующем, так и на пользовательском компьютере. Обычно это всегда будут одноранговые машины.
б. Измените имена хостов обеих машин с помощью приведенной ниже команды. Введите команду на каждой из одноранговых машин.
в. Наконец, укажите имя пользователя и пароль для каждой машины, используя приведенную ниже команду.
Вывод
Примечательно, что разработчики CHAP разработали CHAP, спроектировав этот протокол для защиты систем от атак воспроизведения, гарантируя, что сторона, запрашивающая доступ, использует постепенно меняющуюся переменную и идентификатор. Кроме того, аутентификатор контролирует время и частоту отправки запросов пользователю или стороне, запрашивающей доступ.