“Uno dei pochi protocolli di autenticazione che non inviano un segreto condiviso tra l'utente o la parte che richiede l'accesso e l'autenticatore è il Challenge-Handshake Authentication (CHAP). È un protocollo Point-to-Point (PPP) sviluppato dalla Internet Engineering Task Force, IETF. In particolare, è utile durante l'avvio iniziale del collegamento e i controlli periodici della comunicazione tra il router e l'host.
Pertanto, CHAP è un protocollo di verifica dell'identità che funziona senza inviare un segreto condiviso o un segreto reciproco tra l'utente (parte che richiede l'accesso) e l'autenticatore (parte che verifica l'identità).
Sebbene sia ancora basato su un segreto condiviso, l'autenticatore invia un messaggio di verifica all'utente che richiede l'accesso e non un segreto condiviso. La parte che richiede l'accesso risponderà con un valore generalmente calcolato utilizzando il valore hash unidirezionale. La parte che verifica l'identità verificherà la risposta in base al suo calcolo.
L'autenticazione avrà esito positivo solo se i valori corrispondono. Tuttavia, il processo di autenticazione avrà esito negativo se la parte richiedente l'accesso invia un valore diverso da quello dell'autenticatore. E anche dopo l'autenticazione della connessione riuscita, l'autenticatore può inviare di tanto in tanto una sfida all'utente per mantenere la sicurezza limitando il tempo di esposizione a possibili attacchi'.
Come funziona CHAP
CHAP funziona nei seguenti passaggi:
1. Un client stabilisce un collegamento PPP a un NAS (Network Access Server) richiedendo l'autenticazione.
2. Il mittente invia una contestazione alla parte richiedente l'accesso.
3. La parte che richiede l'accesso risponde alla sfida utilizzando l'algoritmo hash unidirezionale MD5. Nella risposta, il client invierà un nome utente, oltre alla crittografia della sfida, la password del client e l'ID sessione.
4. Il server (autenticatore) verificherà la risposta confrontandola con il valore hash previsto in base alla sua sfida.
5. Il server avvia una connessione se i valori corrispondono. Tuttavia, interromperà la connessione se i valori non corrispondono. Anche dopo la connessione, il server può comunque richiedere al client di inviare una risposta a nuovi messaggi di richiesta poiché CHAP identifica frequentemente le modifiche.
Le 5 principali caratteristiche del CAP
CHAP ha una serie di caratteristiche che lo rendono diverso da altri protocolli. Le caratteristiche includono:
-
- A differenza di TCP, CHAP utilizza un protocollo di handshaking a 3 vie. L'autenticatore invia una sfida al client e il client risponde utilizzando una funzione hash unidirezionale. L'autenticatore abbina la risposta in base al suo valore calcolato e infine concede o nega l'accesso.
- Il client utilizza una funzione hash unidirezionale MD5.
- Il server controlla la connessione di volta in volta e invia sfide all'utente per garantire la sicurezza e ridurre al minimo gli attacchi durante le sessioni.
- Il CHAP chiede spesso un testo in chiaro del segreto reciproco.
- Le variabili cambiano continuamente, offrendo alle reti più sicurezza rispetto a PAP.
I 4 diversi pacchetti CHAP
L'autenticazione CHAP utilizza i seguenti pacchetti:
-
- Pacchetto sfida- Questo è il pacchetto che l'autenticatore invia al client o alla parte che richiede l'accesso una volta che il client ha creato un collegamento PPP. Questo pacchetto inizia all'inizio del protocollo di handshaking a 3 vie. Contiene un valore identificativo, un campo per il valore casuale e un campo per il nome dell'autenticatore.
- Pacchetto di risposta- Questa è la risposta che la parte che richiede l'accesso invia all'autenticatore. Ha un campo Valore contenente il valore hash unidirezionale generato, un campo nome e un valore identificatore. La macchina client imposterà automaticamente il campo del nome del pacchetto sulla password.
- Pacchetto di successo- Il server invierà un pacchetto di successo se la risposta hash dell'utente corrisponde ai valori calcolati dal server. Una volta che un server invia un pacchetto di successo, il sistema stabilirà una connessione.
- Pacchetto fallito – Il server invia un pacchetto di errore se il valore generato è diverso. Ciò implica anche che non ci sarà alcuna connessione.
Configurazione CHAP su macchine di autenticazione e utente
I seguenti passaggi sono necessari durante la configurazione di CHAP:
un. Avviare i comandi seguenti sia sul server/autenticazione che sui computer degli utenti. Di solito, queste saranno sempre macchine peer.
b. Modifica i nomi host di entrambe le macchine usando il comando seguente. Digitare il comando in ciascuna delle macchine peer.
c. Infine, fornisci un nome utente e una password per ogni macchina usando il comando seguente.
Conclusione
In particolare, gli sviluppatori di CHAP hanno sviluppato CHAP progettato questo protocollo per proteggere i sistemi dagli attacchi di riproduzione assicurando che la parte che richiede l'accesso utilizzi una variabile e un identificatore che cambiano in modo incrementale. Inoltre, l'autenticatore controlla i tempi e la frequenza di invio delle sfide a un utente oa una parte che richiede l'accesso.