'Ένα από τα λίγα πρωτόκολλα ελέγχου ταυτότητας που δεν στέλνουν κοινό μυστικό μεταξύ του χρήστη ή του μέρους που ζητά πρόσβαση και του επαληθευτή είναι το Challenge-Handshake Authentication (CHAP). Είναι ένα Πρωτόκολλο Point-to-Point (PPP) που αναπτύχθηκε από την Ομάδα Εργασίας Μηχανικών Διαδικτύου, IETF. Συγκεκριμένα, είναι χρήσιμο κατά την αρχική εκκίνηση της σύνδεσης και τους περιοδικούς ελέγχους επικοινωνίας μεταξύ του δρομολογητή και του κεντρικού υπολογιστή.
Επομένως, το CHAP είναι ένα πρωτόκολλο επαλήθευσης ταυτότητας που λειτουργεί χωρίς να αποστέλλεται κοινό μυστικό ή αμοιβαίο μυστικό μεταξύ του χρήστη (μέρος που ζητά πρόσβαση) και του υπεύθυνου ελέγχου ταυτότητας (μέρος επαλήθευσης ταυτότητας).
Ενώ εξακολουθεί να βασίζεται σε ένα κοινό μυστικό, ο έλεγχος ταυτότητας στέλνει ένα μήνυμα πρόκλησης στον χρήστη ζητώντας πρόσβαση και όχι ένα κοινό μυστικό. Το μέρος που ζητά πρόσβαση θα απαντήσει με μια τιμή που συνήθως υπολογίζεται χρησιμοποιώντας την τιμή κατακερματισμού μονής κατεύθυνσης. Το μέρος που επαληθεύει την ταυτότητα θα ελέγξει την απάντηση με βάση τον υπολογισμό του.
Ο έλεγχος ταυτότητας θα είναι επιτυχής μόνο εάν οι τιμές ταιριάζουν. Ωστόσο, η διαδικασία ελέγχου ταυτότητας θα αποτύχει εάν το μέρος που ζητά πρόσβαση στείλει μια τιμή διαφορετική από αυτή του εργαλείου ελέγχου ταυτότητας. Και ακόμη και μετά από επιτυχή έλεγχο ταυτότητας σύνδεσης, ο έλεγχος ταυτότητας μπορεί να στέλνει μια πρόκληση στον χρήστη από καιρό σε καιρό για να διατηρήσει την ασφάλεια περιορίζοντας τον χρόνο έκθεσης για πιθανές επιθέσεις.'
Πώς λειτουργεί το CHAP
Το CHAP λειτουργεί με τα ακόλουθα βήματα:
1. Ένας πελάτης δημιουργεί μια σύνδεση PPP σε ένα NAS (Διακομιστής πρόσβασης δικτύου) ζητώντας έλεγχο ταυτότητας.
2. Ο αποστολέας στέλνει μια πρόκληση στο μέρος που ζητά πρόσβαση.
3. Το μέρος που ζητά πρόσβαση ανταποκρίνεται στην πρόκληση χρησιμοποιώντας τον μονόδρομο αλγόριθμο κατακερματισμού MD5. Στην απάντηση, ο πελάτης θα στείλει ένα όνομα χρήστη, μαζί με την κρυπτογράφηση της πρόκλησης, τον κωδικό πρόσβασης του πελάτη και το αναγνωριστικό περιόδου σύνδεσης.
4. Ο διακομιστής (authenticator) θα ελέγξει την απόκριση συγκρίνοντάς την με την αναμενόμενη τιμή κατακερματισμού βάσει της πρόκλησης του.
5. Ο διακομιστής ξεκινά μια σύνδεση εάν οι τιμές ταιριάζουν. Ωστόσο, θα τερματίσει τη σύνδεση εάν οι τιμές δεν ταιριάζουν. Ακόμη και μετά τη σύνδεση, ο διακομιστής μπορεί να ζητήσει από τον πελάτη να στείλει μια απάντηση σε νέα μηνύματα πρόκλησης, καθώς το CHAP εντοπίζει συχνά αλλαγές.
Top 5 Χαρακτηριστικά του CHAP
Το CHAP έχει μια σειρά από χαρακτηριστικά που το κάνουν διαφορετικό από άλλα πρωτόκολλα. Τα χαρακτηριστικά περιλαμβάνουν:
-
- Σε αντίθεση με το TCP, το CHAP χρησιμοποιεί ένα πρωτόκολλο χειραψίας 3 κατευθύνσεων. Ο έλεγχος ταυτότητας στέλνει μια πρόκληση στον πελάτη και ο πελάτης απαντά χρησιμοποιώντας μια μονόδρομη συνάρτηση κατακερματισμού. Ο έλεγχος ταυτότητας αντιστοιχίζει την απόκριση με βάση την υπολογιζόμενη τιμή της και τελικά παραχωρεί ή αρνείται την πρόσβαση.
- Ο πελάτης χρησιμοποιεί μια συνάρτηση κατακερματισμού μονής κατεύθυνσης MD5.
- Ο διακομιστής ελέγχει τη σύνδεση από καιρό σε καιρό και στέλνει προκλήσεις στον χρήστη για να εγγυηθεί την ασφάλεια και να ελαχιστοποιήσει τις επιθέσεις κατά τη διάρκεια των συνεδριών.
- Ο CHAP συχνά ζητά ένα απλό κείμενο του αμοιβαίου μυστικού.
- Οι μεταβλητές αλλάζουν συνεχώς, δίνοντας στα δίκτυα μεγαλύτερη ασφάλεια από το PAP.
Τα 4 διαφορετικά πακέτα CHAP
Ο έλεγχος ταυτότητας CHAP χρησιμοποιεί τα ακόλουθα πακέτα:
-
- Πακέτο πρόκλησης- Αυτό είναι το πακέτο που αποστέλλει ο έλεγχος ταυτότητας στον πελάτη ή στον αιτούντα πρόσβαση μόλις ο πελάτης δημιουργήσει μια σύνδεση PPP. Αυτό το πακέτο ξεκινά στην αρχή του πρωτοκόλλου χειραψίας 3 κατευθύνσεων. Περιέχει μια τιμή αναγνωριστικού, ένα πεδίο για την τυχαία τιμή και ένα πεδίο για το όνομα του επαληθευτή.
- Πακέτο απόκρισης- Αυτή είναι η απάντηση που στέλνει το μέρος που ζητά πρόσβαση στον έλεγχο ταυτότητας. Έχει ένα πεδίο Τιμή που περιέχει τη μονόδρομη τιμή κατακερματισμού που δημιουργήθηκε, ένα πεδίο ονόματος και μια τιμή αναγνωριστικού. Το μηχάνημα πελάτη θα ορίσει αυτόματα το πεδίο ονόματος του πακέτου στον κωδικό πρόσβασης.
- Πακέτο επιτυχίας- Ο διακομιστής θα στείλει ένα πακέτο επιτυχίας εάν η απόκριση κατακερματισμού του χρήστη ταιριάζει με τις τιμές που υπολογίζονται από τον διακομιστή. Μόλις ένας διακομιστής στείλει ένα πακέτο επιτυχίας, το σύστημα θα δημιουργήσει μια σύνδεση.
- Πακέτο αποτυχίας – Ο διακομιστής στέλνει ένα πακέτο αποτυχίας εάν η τιμή που δημιουργείται διαφέρει. Αυτό σημαίνει επίσης ότι δεν θα υπάρξει σύνδεση.
Διαμόρφωση CHAP σε μηχανήματα ελέγχου ταυτότητας και χρήστη
Τα ακόλουθα βήματα είναι απαραίτητα κατά τη διαμόρφωση του CHAP:
ένα. Εκκινήστε τις παρακάτω εντολές τόσο στον διακομιστή/τον έλεγχο ταυτότητας όσο και στον υπολογιστή χρήστη. Συνήθως, αυτά θα είναι πάντα ομότιμες μηχανές.
σι. Αλλάξτε τα ονόματα κεντρικών υπολογιστών και των δύο μηχανών χρησιμοποιώντας την παρακάτω εντολή. Πληκτρολογήστε την εντολή σε καθεμία από τις ομότιμες μηχανές.
ντο. Τέλος, δώστε ένα όνομα χρήστη και έναν κωδικό πρόσβασης για κάθε μηχάνημα χρησιμοποιώντας την παρακάτω εντολή.
συμπέρασμα
Συγκεκριμένα, οι προγραμματιστές του CHAP ανέπτυξαν το CHAP σχεδίασαν αυτό το πρωτόκολλο για να προστατεύουν τα συστήματα από επιθέσεις αναπαραγωγής διασφαλίζοντας ότι το μέρος που ζητά πρόσβαση χρησιμοποιεί μια σταδιακά μεταβαλλόμενη μεταβλητή και αναγνωριστικό. Επιπλέον, ο έλεγχος ταυτότητας ελέγχει το χρόνο και τη συχνότητα αποστολής προκλήσεων σε έναν χρήστη ή σε ένα μέρος που ζητά πρόσβαση.