“Viens no nedaudzajiem autentifikācijas protokoliem, kas nenosūta kopīgu noslēpumu starp lietotāju vai piekļuves pieprasītāju un autentifikatoru, ir Challenge-Handshake Authentication (CHAP). Tas ir punkts-punkta protokols (PPP), ko izstrādājusi Interneta inženierijas darba grupa IETF. Konkrēti, tas noder sākotnējās saites palaišanas laikā un periodiskas komunikācijas starp maršrutētāju un resursdatoru pārbaudēm.
Tāpēc CHAP ir identitātes verifikācijas protokols, kas darbojas, nenosūtot kopīgu noslēpumu vai savstarpēju noslēpumu starp lietotāju (piekļuves pieprasītāja puse) un autentifikatoru (identitāti verificējošā puse).
Lai gan tā joprojām ir balstīta uz koplietotu noslēpumu, autentifikators nosūta lietotājam izaicinājuma ziņojumu, pieprasot piekļuvi, nevis koplietotu noslēpumu. Piekļuves pieprasītāja puse atbildēs ar vērtību, kas parasti tiek aprēķināta, izmantojot vienvirziena jaucējvērtību. Identitātes verificējošā puse pārbaudīs atbildi, pamatojoties uz tās aprēķiniem.
Autentifikācija būs veiksmīga tikai tad, ja vērtības sakrīt. Tomēr autentifikācijas process neizdosies, ja piekļuves pieprasītāja puse nosūtīs vērtību, kas atšķiras no autentifikatora vērtības. Un pat pēc veiksmīgas savienojuma autentifikācijas autentifikators laiku pa laikam var nosūtīt lietotājam izaicinājumu saglabāt drošību, ierobežojot iespējamo uzbrukumu iedarbības laiku.
Kā darbojas CHAP
CHAP darbojas šādās darbībās:
1. Klients izveido PPP saiti uz NAS (tīkla piekļuves serveri), pieprasot autentifikāciju.
2. Sūtītājs nosūta izaicinājumu piekļuves pieprasītājai pusei.
3. Piekļuves pieprasītāja puse atbild uz izaicinājumu, izmantojot MD5 vienvirziena jaukšanas algoritmu. Atbildē klients nosūtīs lietotājvārdu, kā arī izaicinājuma šifrēšanu, klienta paroli un sesijas ID.
4. Serveris (autentifikators) pārbaudīs atbildi, salīdzinot to ar paredzamo jaucējvērtību, pamatojoties uz tā izaicinājumu.
5. Serveris uzsāk savienojumu, ja vērtības sakrīt. Tomēr tas pārtrauks savienojumu, ja vērtības nesakrīt. Pat izveidojot savienojumu, serveris joprojām var pieprasīt klientam nosūtīt atbildi uz jauniem izaicinājuma ziņojumiem, jo CHAP bieži identificē izmaiņas.
5 populārākās CHAP īpašības
CHAP ir virkne funkciju, kas to atšķir no citiem protokoliem. Funkcijas ietver:
-
- Atšķirībā no TCP, CHAP izmanto trīsvirzienu rokasspiediena protokolu. Autentifikators nosūta klientam izaicinājumu, un klients atbild, izmantojot vienvirziena jaucējfunkciju. Autentifikators saskaņo atbildi, pamatojoties uz tās aprēķināto vērtību, un visbeidzot piešķir vai liedz piekļuvi.
- Klients izmanto MD5 vienvirziena jaucējfunkciju.
- Serveris ik pa laikam pārbauda savienojumu un lietotājam nosūta izaicinājumus, lai garantētu drošību un samazinātu uzbrukumus sesiju laikā.
- CHAP bieži prasa atklātu savstarpējā noslēpuma tekstu.
- Mainīgie lielumi mainās nepārtraukti, nodrošinot tīkliem lielāku drošību nekā PAP.
4 dažādas CHAP paketes
CHAP autentifikācija izmanto šādas paketes:
-
- Izaicinājuma pakete - Šī ir pakete, ko autentifikators nosūta klientam vai piekļuves pieprasītājai pusei, kad klients ir izveidojis PPP saiti. Šī pakete sākas trīsvirzienu rokasspiediena protokola sākumā. Tas satur identifikatora vērtību, lauku izlases vērtībai un lauku autentifikatora vārdam.
- Atbilžu pakete - Šī ir atbilde, ko piekļuves pieprasītāja puse nosūta atpakaļ autentifikatoram. Tam ir vērtības lauks, kurā ir ģenerēta vienvirziena jaucējvērtība, nosaukuma lauks un identifikatora vērtība. Klienta iekārta automātiski iestatīs paketes nosaukuma laukā paroli.
- Veiksmes pakete - Serveris nosūtīs veiksmīgu paketi, ja lietotāja jaucējatbilde atbilst servera aprēķinātajām vērtībām. Kad serveris nosūtīs veiksmīgu paketi, sistēma izveidos savienojumu.
- Neveiksmju pakete – Ja ģenerētā vērtība atšķiras, serveris nosūta atteices paketi. Tas arī nozīmē, ka nebūs savienojuma.
CHAP konfigurēšana autentifikācijas un lietotāja mašīnās
Konfigurējot CHAP, ir jāveic šādas darbības:
a. Sāciet tālāk norādītās komandas gan servera/autentifikācijas, gan lietotāja mašīnās. Parasti tās vienmēr būs līdzīgas iekārtas.
b. Mainiet abu mašīnu resursdatora nosaukumus, izmantojot tālāk norādīto komandu. Ievadiet komandu katrā vienādranga mašīnā.
c. Visbeidzot, katrai iekārtai norādiet lietotājvārdu un paroli, izmantojot tālāk norādīto komandu.
Secinājums
Konkrēti, CHAP izstrādātāji CHAP izstrādāja šo protokolu, lai aizsargātu sistēmas pret atskaņošanas uzbrukumiem, nodrošinot, ka piekļuves pieprasītāja puse izmanto pakāpeniski mainīgu mainīgo un identifikatoru. Turklāt autentifikators kontrolē izaicinājumu nosūtīšanas laiku un biežumu lietotājam vai piekļuves pieprasītājai pusei.