“Een van de weinige authenticatieprotocollen die geen gedeeld geheim verzenden tussen de gebruiker of de toegang vragende partij en de authenticator is de Challenge-Handshake Authentication (CHAP). Het is een Point-to-Point Protocol (PPP) ontwikkeld door de Internet Engineering Task Force, IETF. Het is met name handig tijdens het opstarten van de eerste link en periodieke controles van de communicatie tussen de router en de host.
Daarom is CHAP een identiteitsverificatieprotocol dat werkt zonder een gedeeld geheim of wederzijds geheim tussen de gebruiker (toegang vragende partij) en de authenticator (identiteit verifiërende partij) te verzenden.
Hoewel het nog steeds gebaseerd is op een gedeeld geheim, stuurt de authenticator een uitdagingsbericht naar de gebruiker die om toegang vraagt en niet een gedeeld geheim. De toegang vragende partij zal antwoorden met een waarde die gewoonlijk wordt berekend met behulp van de one-way hash-waarde. De identiteit verifiërende partij controleert de respons op basis van haar berekening.
Authenticatie is alleen succesvol als de waarden overeenkomen. Het authenticatieproces zal echter mislukken als de toegang vragende partij een andere waarde verzendt dan die van de authenticator. En zelfs na succesvolle verbindingsauthenticatie kan de authenticator de gebruiker van tijd tot tijd een uitdaging sturen om de veiligheid te handhaven door de blootstellingstijd voor mogelijke aanvallen te beperken.”
Hoe CHAP werkt
CHAP werkt in de volgende stappen:
1. Een client brengt een PPP-koppeling tot stand met een NAS (Network Access Server) die authenticatie vraagt.
2. De afzender stuurt een challenge naar de toegang vragende partij.
3. De toegang vragende partij reageert op de challenge met behulp van het MD5 one-way hash algoritme. In het antwoord stuurt de klant een gebruikersnaam, naast de codering van de uitdaging, het klantwachtwoord en de sessie-ID.
4. De server (authenticator) controleert het antwoord door het te vergelijken met de verwachte hash-waarde op basis van de uitdaging.
5. De server brengt een verbinding tot stand als de waarden overeenkomen. Het zal de verbinding echter beëindigen als de waarden niet overeenkomen. Zelfs bij verbinding kan de server de client nog steeds vragen om een antwoord te sturen op nieuwe challenge-berichten, aangezien CHAP regelmatig wijzigingen signaleert.
Top 5 kenmerken van CHAP
CHAP heeft een scala aan functies die het anders maken dan andere protocollen. De functies omvatten:
-
- In tegenstelling tot TCP gebruikt CHAP een 3-way handshaking-protocol. De authenticator stuurt een uitdaging naar de client en de client reageert met een eenrichtings-hashfunctie. De authenticator matcht het antwoord op basis van de berekende waarde en verleent of weigert uiteindelijk toegang.
- De client gebruikt een MD5 one-way hash-functie.
- De server controleert van tijd tot tijd de verbinding en stuurt uitdagingen naar de gebruiker om de veiligheid te garanderen en aanvallen tijdens sessies te minimaliseren.
- CHAP vraagt vaak om een leesbare tekst van het wederzijdse geheim.
- De variabelen veranderen continu, waardoor netwerken meer veiligheid bieden dan PAP.
De 4 verschillende CHAP-pakketten
CHAP-verificatie gebruikt de volgende pakketten:
-
- Uitdagingspakket- Dit is het pakket dat de authenticator naar de client of de partij die toegang vraagt, verzendt zodra de client een PPP-koppeling heeft gemaakt. Dit pakket begint aan het begin van het 3-way handshaking-protocol. Het bevat een identificatiewaarde, een veld voor de willekeurige waarde en een veld voor de naam van de authenticator.
- Antwoordpakket- Dit is het antwoord dat de toegang vragende partij terugstuurt naar de authenticator. Het heeft een veld Waarde met de gegenereerde eenrichtings-hash-waarde, een naamveld en een identifier-waarde. De clientmachine stelt automatisch het naamveld van het pakket in op het wachtwoord.
- Succespakket- De server verzendt een succespakket als het hash-antwoord van de gebruiker overeenkomt met de waarden die door de server zijn berekend. Zodra een server een succespakket verzendt, zal het systeem een verbinding tot stand brengen.
- Storingspakket – De server stuurt een storingspakket als de gegenereerde waarde verschilt. Dit houdt ook in dat er geen verbinding zal zijn.
CHAP configureren op verificatie- en gebruikerscomputers
De volgende stappen zijn nodig bij het configureren van CHAP:
a. Start de onderstaande opdrachten op zowel de server/authenticatie- als de gebruikerscomputer. Meestal zullen dit altijd peer-machines zijn.
b. Wijzig de hostnamen van beide machines met behulp van de onderstaande opdracht. Typ de opdracht in elk van de peer-machines.
c. Geef ten slotte een gebruikersnaam en wachtwoord op voor elke machine met behulp van de onderstaande opdracht.
Conclusie
Met name de ontwikkelaars van CHAP ontwikkelden CHAP dit protocol om systemen te beschermen tegen afspeelaanvallen door ervoor te zorgen dat de partij die toegang vraagt een incrementeel veranderende variabele en identifier gebruikt. Bovendien regelt de authenticator de timing en frequentie van het verzenden van uitdagingen naar een gebruiker of een partij die toegang vraagt.