„Eines der wenigen Authentifizierungsprotokolle, das kein gemeinsames Geheimnis zwischen dem Benutzer oder der zugriffsanfordernden Partei und dem Authentifikator sendet, ist die Challenge-Handshake-Authentifizierung (CHAP). Es ist ein Point-to-Point-Protokoll (PPP), das von der Internet Engineering Task Force, IETF, entwickelt wurde. Dies ist insbesondere beim anfänglichen Verbindungsaufbau und bei regelmäßigen Überprüfungen der Kommunikation zwischen dem Router und dem Host nützlich.
Daher ist CHAP ein Identitätsüberprüfungsprotokoll, das funktioniert, ohne ein gemeinsames Geheimnis oder ein gemeinsames Geheimnis zwischen dem Benutzer (Zugriff anfordernde Partei) und dem Authentifikator (Identitätsüberprüfungspartei) zu senden.
Obwohl es immer noch auf einem gemeinsamen Geheimnis basiert, sendet der Authentifikator eine Challenge-Nachricht an den Benutzer, der den Zugriff anfordert, und kein gemeinsames Geheimnis. Die zugriffsanfragende Partei antwortet mit einem Wert, der normalerweise unter Verwendung des Einweg-Hash-Werts berechnet wird. Die identitätsprüfende Partei prüft die Antwort anhand ihrer Berechnung.
Die Authentifizierung ist nur erfolgreich, wenn die Werte übereinstimmen. Der Authentifizierungsprozess schlägt jedoch fehl, wenn die den Zugriff anfordernde Partei einen Wert sendet, der sich von dem des Authentifizierers unterscheidet. Und selbst nach erfolgreicher Verbindungsauthentifizierung kann der Authentifikator von Zeit zu Zeit eine Herausforderung an den Benutzer senden, um die Sicherheit aufrechtzuerhalten, indem er die Expositionszeit für mögliche Angriffe begrenzt.“
Wie CHAP funktioniert
CHAP funktioniert in den folgenden Schritten:
1. Ein Client stellt eine PPP-Verbindung zu einem NAS (Network Access Server) her und fordert eine Authentifizierung an.
2. Der Absender sendet eine Aufforderung an die zugriffsanfragende Partei.
3. Die den Zugriff anfordernde Partei antwortet auf die Abfrage unter Verwendung des MD5-Einweg-Hash-Algorithmus. In der Antwort sendet der Client einen Benutzernamen, zusammen mit der Verschlüsselung der Herausforderung, dem Client-Passwort und der Sitzungs-ID.
4. Der Server (Authentifikator) überprüft die Antwort, indem er sie mit dem erwarteten Hash-Wert vergleicht, der auf seiner Abfrage basiert.
5. Der Server initiiert eine Verbindung, wenn die Werte übereinstimmen. Die Verbindung wird jedoch beendet, wenn die Werte nicht übereinstimmen. Selbst nach der Verbindung kann der Server den Client immer noch auffordern, eine Antwort auf neue Challenge-Nachrichten zu senden, da CHAP Änderungen häufig erkennt.
Top 5 Merkmale von CHAP
CHAP hat eine Reihe von Funktionen, die es von anderen Protokollen unterscheidet. Zu den Funktionen gehören:
-
- Im Gegensatz zu TCP verwendet CHAP ein 3-Wege-Handshaking-Protokoll. Der Authentifikator sendet eine Herausforderung an den Client, und der Client antwortet mit einer Einweg-Hash-Funktion. Der Authentifikator gleicht die Antwort basierend auf ihrem berechneten Wert ab und gewährt oder verweigert schließlich den Zugriff.
- Der Client verwendet eine MD5-Einweg-Hash-Funktion.
- Der Server überprüft von Zeit zu Zeit die Verbindung und sendet Herausforderungen an den Benutzer, um die Sicherheit zu gewährleisten und Angriffe während der Sitzungen zu minimieren.
- CHAP fragt oft nach einem Klartext des gemeinsamen Geheimnisses.
- Die Variablen ändern sich kontinuierlich und geben Netzwerken mehr Sicherheit als PAP.
Die 4 verschiedenen CHAP-Pakete
Die CHAP-Authentifizierung verwendet die folgenden Pakete:
-
- Herausforderungspaket- Dies ist das Paket, das der Authentifikator an den Client oder die den Zugriff anfordernde Partei sendet, sobald der Client eine PPP-Verbindung erstellt. Dieses Paket beginnt am Anfang des 3-Wege-Handshaking-Protokolls. Es enthält einen Kennungswert, ein Feld für den Zufallswert und ein Feld für den Namen des Authentifikators.
- Antwortpaket- Dies ist die Antwort, die die zugriffsanfragende Partei an den Authentifikator zurücksendet. Es hat ein Wertfeld, das den erzeugten Einweg-Hashwert enthält, ein Namensfeld und einen Kennungswert. Der Client-Rechner setzt das Namensfeld des Pakets automatisch auf das Passwort.
- Erfolgspaket- Der Server sendet ein Erfolgspaket, wenn die Hash-Antwort des Benutzers mit den vom Server berechneten Werten übereinstimmt. Sobald ein Server ein Erfolgspaket sendet, stellt das System eine Verbindung her.
- Fehlerpaket – Der Server sendet ein Fehlerpaket, wenn der generierte Wert abweicht. Dies impliziert auch, dass es keine Verbindung geben wird.
Konfigurieren von CHAP auf Authentifizierungs- und Benutzercomputern
Bei der Konfiguration von CHAP sind folgende Schritte notwendig:
a. Starten Sie die folgenden Befehle sowohl auf dem Server/Authentifizierungs- als auch auf dem Benutzercomputer. Normalerweise sind dies immer Peer-Maschinen.
b. Ändern Sie die Hostnamen beider Computer mit dem folgenden Befehl. Geben Sie den Befehl auf jedem der Peer-Computer ein.
c. Geben Sie schließlich mit dem folgenden Befehl einen Benutzernamen und ein Passwort für jede Maschine an.
Fazit
Insbesondere haben die Entwickler von CHAP dieses Protokoll entwickelt, um Systeme vor Wiedergabeangriffen zu schützen, indem sichergestellt wird, dass die zugriffsanfordernde Partei eine sich inkrementell ändernde Variable und Kennung verwendet. Außerdem steuert der Authentifikator das Timing und die Häufigkeit des Sendens von Herausforderungen an einen Benutzer oder eine zugriffsanfordernde Partei.