'En af de få autentificeringsprotokoller, der ikke sender en delt hemmelighed mellem brugeren eller den adgangsanmodende part og autentificeringsgiveren, er Challenge-Handshake Authentication (CHAP). Det er en Point-to-Point Protocol (PPP) udviklet af Internet Engineering Task Force, IETF. Det er især nyttigt under indledende linkstart og periodiske kontrol af kommunikationen mellem routeren og værten.
Derfor er CHAP en identitetsverifikationsprotokol, der fungerer uden at sende en delt hemmelighed eller gensidig hemmelighed mellem brugeren (adgangsanmodende part) og autentificeringsgiveren (identitetsbekræftende part).
Mens den stadig er baseret på en delt hemmelighed, sender autentificeringsværktøjet en udfordringsbesked til brugeren, der anmoder om adgang og ikke en delt hemmelighed. Den adgangsanmodende part vil svare med en værdi, der normalt beregnes ved hjælp af envejs-hashværdien. Den identitetsbekræftende part vil kontrollere svaret baseret på dets beregning.
Godkendelse vil kun lykkes, hvis værdierne matcher. Autentificeringsprocessen vil dog mislykkes, hvis den adgangsanmodende part sender en værdi, der er forskellig fra godkendelsesgiverens. Og selv efter vellykket forbindelsesgodkendelse kan godkendelsesværktøjet sende en udfordring til brugeren fra tid til anden for at opretholde sikkerheden ved at begrænse eksponeringstiden for mulige angreb.'
Hvordan CHAP virker
CHAP fungerer i følgende trin:
1. En klient etablerer et PPP-link til en NAS (Network Access Server), der anmoder om godkendelse.
2. Afsender sender en udfordring til den adgangsanmodende part.
3. Den adgangsanmodende part reagerer på udfordringen ved hjælp af MD5 envejs-hash-algoritmen. I svaret sender klienten et brugernavn sammen med kryptering af udfordringen, klientadgangskoden og sessions-id'et.
4. Serveren (autentificeringsværktøjet) vil kontrollere svaret ved at sammenligne det med den forventede hashværdi baseret på dens udfordring.
5. Serveren starter en forbindelse, hvis værdierne matcher. Det vil dog afbryde forbindelsen, hvis værdierne ikke stemmer overens. Selv efter forbindelse kan serveren stadig anmode klienten om at sende et svar på nye udfordringsmeddelelser, da CHAP-identifikationerne ændres ofte.
Top 5 kendetegn ved CHAP
CHAP har en række funktioner, der gør den anderledes end andre protokoller. Funktionerne omfatter:
-
- I modsætning til TCP bruger CHAP en 3-vejs handshaking-protokol. Autentificeringsværktøjet sender en udfordring til klienten, og klienten svarer ved hjælp af en envejs-hash-funktion. Autentificeringsværktøjet matcher svaret baseret på dets beregnede værdi og giver eller nægter endelig adgang.
- Klienten bruger en MD5 envejs hash-funktion.
- Serveren tjekker forbindelsen fra tid til anden og sender udfordringer til brugeren for at garantere sikkerhed og minimere angreb under sessioner.
- CHAP beder ofte om en klartekst af den gensidige hemmelighed.
- Variablerne ændres løbende, hvilket giver netværk mere sikkerhed end PAP.
De 4 forskellige CHAP-pakker
CHAP-godkendelse bruger følgende pakker:
-
- Udfordringspakke- Dette er den pakke, som autentificeringsværktøjet sender til klienten eller den adgangsanmodende part, når klienten opretter et PPP-link. Denne pakke begynder i begyndelsen af 3-vejs handshaking-protokollen. Den indeholder en identifikatorværdi, et felt for den tilfældige værdi og et felt for godkendelsesgiverens navn.
- Svarpakke- Dette er svaret, som den adgangsanmodende part sender tilbage til godkendelsesværktøjet. Den har et værdifelt, der indeholder den genererede envejs-hashværdi, et navnefelt og en identifikationsværdi. Klientmaskinen indstiller automatisk pakkens navnefelt til adgangskoden.
- Succespakke- Serveren sender en succespakke, hvis brugerens hash-svar matcher værdierne beregnet af serveren. Når en server sender en succespakke, etablerer systemet en forbindelse.
- Fejlpakke – Serveren sender en fejlpakke, hvis den genererede værdi afviger. Dette indebærer også, at der ikke vil være nogen forbindelse.
Konfiguration af CHAP på godkendelses- og brugermaskiner
Følgende trin er nødvendige, når du konfigurerer CHAP:
en. Start kommandoerne nedenfor på både serveren/godkendelses- og brugermaskinerne. Normalt vil disse altid være peer-maskiner.
b. Skift værtsnavnene på begge maskiner ved hjælp af nedenstående kommando. Indtast kommandoen i hver af peer-maskinerne.
c. Til sidst skal du angive et brugernavn og en adgangskode for hver maskine ved hjælp af nedenstående kommando.
Konklusion
Især udviklerne af CHAP udviklede CHAP designet denne protokol til at beskytte systemer mod afspilningsangreb ved at sikre, at den adgangsanmodende part bruger en trinvist skiftende variabel og identifikator. Desuden kontrollerer autentificeringen timingen og hyppigheden af at sende udfordringer til en bruger eller en adgangsanmodende part.