'Un dels pocs protocols d'autenticació que no envien un secret compartit entre l'usuari o la part que sol·licita l'accés i l'autenticador és el Challenge-Handshake Authentication (CHAP). És un protocol punt a punt (PPP) desenvolupat per l'Internet Engineering Task Force, IETF. En particular, és útil durant l'inici de l'enllaç i les comprovacions periòdiques de la comunicació entre l'encaminador i l'amfitrió.
Per tant, CHAP és un protocol de verificació d'identitat que funciona sense enviar un secret compartit o un secret mutu entre l'usuari (part que sol·licita l'accés) i l'autenticador (part que verifica la identitat).
Tot i que encara es basa en un secret compartit, l'autenticador envia un missatge de desafiament a l'usuari que demana accés i no un secret compartit. La part que sol·licita l'accés respondrà amb un valor que normalment es calcula utilitzant el valor hash unidireccional. La part verificadora d'identitat comprovarà la resposta en funció del seu càlcul.
L'autenticació només tindrà èxit si els valors coincideixen. Tanmateix, el procés d'autenticació fallarà si la part que sol·licita l'accés envia un valor diferent del de l'autenticador. I fins i tot després de l'autenticació de la connexió correcta, l'autenticador pot enviar un desafiament a l'usuari de tant en tant per mantenir la seguretat limitant el temps d'exposició per a possibles atacs'.
Com funciona el CHAP
CHAP funciona en els passos següents:
1. Un client estableix un enllaç PPP a un NAS (Servidor d'accés a la xarxa) sol·licitant l'autenticació.
2. El remitent envia una impugnació a la part que sol·licita l'accés.
3. La part que sol·licita l'accés respon al repte utilitzant l'algorisme hash unidireccional MD5. A la resposta, el client enviarà un nom d'usuari, juntament amb el xifratge del repte, la contrasenya del client i l'identificador de sessió.
4. El servidor (autenticador) comprovarà la resposta comparant-la amb el valor hash esperat en funció del seu repte.
5. El servidor inicia una connexió si els valors coincideixen. Tanmateix, finalitzarà la connexió si els valors no coincideixen. Fins i tot després de la connexió, el servidor encara pot demanar al client que enviï una resposta als nous missatges de desafiament, ja que CHAP identifica canvis amb freqüència.
Les 5 principals característiques del CHAP
CHAP té una sèrie de característiques que el fan diferent d'altres protocols. Les característiques inclouen:
-
- A diferència de TCP, CHAP utilitza un protocol de connexió de 3 vies. L'autenticador envia un repte al client i el client respon mitjançant una funció hash unidireccional. L'autenticador fa coincidir la resposta en funció del seu valor calculat i finalment concedeix o denega l'accés.
- El client utilitza una funció hash unidireccional MD5.
- El servidor comprova la connexió de tant en tant i envia reptes a l'usuari per garantir la seguretat i minimitzar els atacs durant les sessions.
- El CHAP sovint demana un text clar del secret mutu.
- Les variables canvien contínuament, donant més seguretat a les xarxes que PAP.
Els 4 paquets CHAP diferents
L'autenticació CHAP utilitza els paquets següents:
-
- Paquet de repte- Aquest és el paquet que l'autenticador envia al client o a la part que sol·licita l'accés un cop el client crea un enllaç PPP. Aquest paquet comença a l'inici del protocol de connexió de 3 vies. Conté un valor d'identificador, un camp per al valor aleatori i un camp per al nom de l'autenticador.
- Paquet de resposta- Aquesta és la resposta que la part que sol·licita l'accés envia de nou a l'autenticador. Té un camp de valor que conté el valor hash unidireccional generat, un camp de nom i un valor d'identificador. La màquina client establirà automàticament el camp de nom del paquet amb la contrasenya.
- Paquet d'èxit- El servidor enviarà un paquet d'èxit si la resposta hash de l'usuari coincideix amb els valors calculats pel servidor. Un cop un servidor envia un paquet d'èxit, el sistema establirà una connexió.
- Paquet de fallada – El servidor envia un paquet d'error si el valor generat és diferent. Això també implica que no hi haurà connexió.
Configuració de CHAP en màquines d'autenticació i d'usuari
Els passos següents són necessaris per configurar CHAP:
a. Inicieu les ordres següents tant al servidor/autenticació com a les màquines d'usuari. Normalment, aquestes seran sempre màquines iguals.
b. Canvieu els noms d'amfitrió d'ambdues màquines mitjançant l'ordre següent. Escriviu l'ordre a cadascuna de les màquines iguals.
c. Finalment, proporcioneu un nom d'usuari i una contrasenya per a cada màquina mitjançant l'ordre següent.
Conclusió
En particular, els desenvolupadors de CHAP van desenvolupar CHAP per dissenyar aquest protocol per protegir els sistemes contra atacs de reproducció assegurant que la part que sol·licita l'accés utilitza una variable i un identificador que canvien de manera incremental. A més, l'autenticador controla el temps i la freqüència d'enviament de reptes a un usuari o a una part que sol·licita l'accés.