“Uno de los pocos protocolos de autenticación que no envía un secreto compartido entre el usuario o la parte que solicita el acceso y el autenticador es la autenticación por desafío mutuo (CHAP). Es un protocolo punto a punto (PPP) desarrollado por el Grupo de Trabajo de Ingeniería de Internet, IETF. En particular, resulta útil durante el inicio del enlace inicial y las comprobaciones periódicas de la comunicación entre el enrutador y el host.
Por lo tanto, CHAP es un protocolo de verificación de identidad que funciona sin enviar un secreto compartido o secreto mutuo entre el usuario (parte que solicita el acceso) y el autenticador (parte que verifica la identidad).
Si bien todavía se basa en un secreto compartido, el autenticador envía un mensaje de desafío al usuario que solicita acceso y no un secreto compartido. La parte que solicita el acceso responderá con un valor generalmente calculado utilizando el valor hash unidireccional. La parte que verifica la identidad verificará la respuesta en función de su cálculo.
La autenticación solo tendrá éxito si los valores coinciden. Sin embargo, el proceso de autenticación fallará si la parte que solicita el acceso envía un valor diferente al del autenticador. E incluso después de una autenticación de conexión exitosa, el autenticador puede enviar un desafío al usuario de vez en cuando para mantener la seguridad al limitar el tiempo de exposición a posibles ataques”.
Cómo funciona CHAP
CHAP funciona en los siguientes pasos:
1. Un cliente establece un enlace PPP a un NAS (Servidor de acceso a la red) solicitando autenticación.
2. El remitente envía un desafío a la parte que solicita el acceso.
3. La parte que solicita el acceso responde al desafío utilizando el algoritmo hash unidireccional MD5. En la respuesta, el cliente enviará un nombre de usuario, junto con el cifrado del desafío, la contraseña del cliente y la identificación de la sesión.
4. El servidor (autenticador) verificará la respuesta comparándola con el valor hash esperado en función de su desafío.
5. El servidor inicia una conexión si los valores coinciden. Sin embargo, terminará la conexión si los valores no coinciden. Incluso después de la conexión, el servidor aún puede solicitar al cliente que envíe una respuesta a los nuevos mensajes de desafío, ya que CHAP identifica cambios con frecuencia.
Las 5 características principales de CHAP
CHAP tiene una serie de características que lo diferencian de otros protocolos. Las características incluyen:
-
- A diferencia de TCP, CHAP utiliza un protocolo de negociación de 3 vías. El autenticador envía un desafío al cliente y el cliente responde utilizando una función hash unidireccional. El autenticador hace coincidir la respuesta en función de su valor calculado y finalmente concede o deniega el acceso.
- El cliente utiliza una función hash unidireccional MD5.
- El servidor verifica la conexión de vez en cuando y envía desafíos al usuario para garantizar la seguridad y minimizar los ataques durante las sesiones.
- CHAP a menudo solicita un texto sin formato del secreto mutuo.
- Las variables cambian continuamente, dando a las redes más seguridad que PAP.
Los 4 paquetes CHAP diferentes
La autenticación CHAP utiliza los siguientes paquetes:
-
- Paquete de desafío- Este es el paquete que el autenticador envía al cliente o a la parte que solicita el acceso una vez que el cliente crea un enlace PPP. Este paquete comienza al principio del protocolo de reconocimiento de 3 vías. Contiene un valor de identificador, un campo para el valor aleatorio y un campo para el nombre del autenticador.
- Paquete de respuesta- Esta es la respuesta que la parte que solicita el acceso devuelve al autenticador. Tiene un campo Valor que contiene el valor hash unidireccional generado, un campo de nombre y un valor de identificador. La máquina cliente configurará automáticamente el campo de nombre del paquete a la contraseña.
- Paquete de éxito- El servidor enviará un paquete de éxito si la respuesta hash del usuario coincide con los valores calculados por el servidor. Una vez que un servidor envía un paquete de éxito, el sistema establecerá una conexión.
- Paquete de falla – El servidor envía un paquete de error si el valor generado difiere. Esto también implica que no habrá conexión.
Configuración de CHAP en máquinas de autenticación y de usuario
Los siguientes pasos son necesarios al configurar CHAP:
una. Inicie los siguientes comandos tanto en el servidor/autenticación como en las máquinas del usuario. Por lo general, estas siempre serán máquinas pares.
b. Cambie los nombres de host de ambas máquinas usando el siguiente comando. Escriba el comando en cada una de las máquinas del mismo nivel.
C. Finalmente, proporcione un nombre de usuario y contraseña para cada máquina usando el siguiente comando.
Conclusión
En particular, los desarrolladores de CHAP desarrollaron CHAP y diseñaron este protocolo para proteger los sistemas contra los ataques de reproducción al garantizar que la parte que solicita el acceso use una variable y un identificador que cambian progresivamente. Además, el autenticador controla el tiempo y la frecuencia de envío de desafíos a un usuario oa una parte que solicita acceso.