Password Authentication Protocol eli Pap ja Challenge Handshake Authentication Protocol eli CHAP-protokollan eroja käytetään molemmat PPP-istuntojen todentamiseen, ja niitä voidaan käyttää monien VPN: ien kanssa.
Papa toimii kuin normaali kirjautumisprosessi. Etäjärjestelmä todentaa itsensä staattisen käyttäjätunnuksen ja salasanan yhdistelmän avulla. Salasana voi kulkea vahvistetun salatun tunnelin läpi lisäturvaa varten, mutta PAP joutuu lukuisten hyökkäysten kohteeksi. Koska tieto on staattista, se on altis salasanojen arvaamiselle ja urkkimiselle.
CHAP omaksuu kehittyneemmän ja turvallisemman lähestymistavan todennukseen. Se luo ainutlaatuisen haastelauseen jokaiselle todennukselle luomalla satunnaisen merkkijonon. Tämä haastelause yhdistetään laitteen isäntänimiin yksisuuntaisten hajautustoimintojen avulla. Tämän prosessin avulla CHAP voi todentaa, että staattista salaista tietoa ei lähetetä langalla.
sukelletaan syvemmälle eroihin PAP ja CHAP ja miten he voivat työskennellä yhdessä.
mitä Papa on?
kahdesta Point-to-Point Protocol (PPP) – todennusmenetelmästä PAP on vanhempi. Se standardoitiin vuonna 1992 IETF: n Huomautuspyynnöllä 1334. PAP on asiakas-palvelin, salasanapohjainen todennusprotokolla. Todennus tapahtuu vain kerran istunnon perustamisprosessin alussa.
PAP käyttää tunnistautumiseen kaksisuuntaista kättelyprosessia seuraavien vaiheiden avulla.
Vaihe 1. Asiakas lähettää käyttäjätunnuksen ja salasanan palvelimelle.
asiakas, joka haluaa luoda PPP-istunnon palvelimella, lähettää palvelimelle käyttäjätunnuksen ja salasanan yhdistelmän. Tämä suoritetaan authentication-request-paketin kautta.
Vaihe 2. Palvelin hyväksyy tunnistetiedot ja tarkistaa.
jos palvelin kuuntelee todennuspyyntöjä, se hyväksyy käyttäjätunnukset ja salasanatiedot ja varmistaa niiden vastaavuuden.
jos tunnistetiedot lähetetään oikein, palvelin lähettää asiakkaalle authentication-ack-vastauspaketin. Tämän jälkeen palvelin perustaa PPP-istunnon asiakkaan ja palvelimen välille.
jos tunnistetiedot lähetetään väärin, palvelin lähettää asiakkaalle authentication-nak-vastauspaketin. Palvelin ei luo vastausta negatiivisen kuittauksen perusteella.
PAP on yksinkertainen todennusmekanismi ja helppo toteuttaa, mutta sillä on vakavia haittoja sen käytössä reaalimaailmassa. Suurin haittapuoli on, että PAP lähettää staattisia käyttäjätunnuksia ja salasanoja asiakkailta palvelimille pelkällä tekstillä. Jos huonot toimijat sieppasivat tämän tiedonannon käyttäen työkaluja kuten pakettien nuuskijaa, he voisivat todentaa ja perustaa PPP-istunnon asiakkaan puolesta.
on mahdollista lähettää PAP-tunnistautumispyyntöjä olemassa olevien salattujen tunnelien kautta. Mutta jos muita tunnistautumisvaihtoehtoja, kuten CHAP, on käytettävissä, ryhmien tulisi käyttää vaihtoehtoista menetelmää.
mikä on CHAP?
CHAP käyttää kolmijakoista kättelyprosessia suojatakseen todennussalasanan huonoilta toimijoilta. Se toimii seuraavasti.
Vaihe 1. Kun linkki on luotu, authenticator lähettää todennushaasteen.
network access-palvelin suorittaa palvelinnimi-haun asiakkaalle ja käynnistää CHAP-todennuksen lähettämällä etäkäyttäjälle ”Kysy-haasteen”. Tämä haaste sisältää satunnaisesti luodun haastemerkkijonon.
Vaihe 2. Asiakas suorittaa hostname-haun.
asiakas käyttää sekä asiakkaan että palvelimen tuntemaa salasanaa luodakseen salatun yksisuuntaisen hasiksen haastemerkkijonon perusteella.
Vaihe 3. Palvelin purkaa hash-salauksen ja varmistaa.
palvelin purkaa hajautuksen salauksen ja varmistaa, että se vastaa alkuperäistä haastemerkkijonoa. Jos merkkijonot täsmäävät, palvelin vastaa todennuspaketilla. Jos merkkijonot eivät täsmää, palvelin lähettää todennushäiriöviestivasteen, ja istunto päättyy.
mitä eroja on Papa: n ja CHAP: n välillä?
CHAP tuli mukaan vuonna 1996 suurelta osin vastauksena PAP: hen liittyviin todennuspuutteisiin. Kaksinaamaisen kättelyn sijaan CHAP käyttää kolminapaista kättelyä eikä lähetä salasanaa verkon yli. CHAP käyttää salattua hasista, josta sekä asiakas että palvelin tietävät jaetun salaisen avaimen. Tämä lisäaskel auttaa poistamaan PAP: stä löydetyt tietoturvapuutteet.
toinen ero on se, että CHAP voidaan asettaa tekemään toistuvia keskivartalon autentikaatioita. Tämä on hyödyllinen tietyissä PPP-istunnoissa, jotka jättävät portin auki, vaikka Etälaite on katkennut. Siinä tapauksessa, joku muu voisi poimia yhteyden keskiosa luomalla fyysisen yhteyden.
miten PAP ja CHAP voivat toimia yhdessä?
Papa ja CHAP eivät voi toimia yhdessä sinänsä. Mutta protokollat, jotka käyttävät joko PAP-tai CHAP-protokollia, voivat halutessaan olla vuorovaikutuksessa molempien todennusmenetelmien kanssa.
esimerkiksi PPP voi käyttää tunnistautumiseen joko PAP: tä tai CHAP: ia. Niin, järjestelmänvalvojat voisivat määrittää viestintäprotokollan yrittää todentaa kautta CHAP: n turvallinen kolmitie kädenpuristus ensin ja sitten palata vähemmän turvallinen, kaksisuuntainen todennus löytyy PAP.