Password Authentication Protocol, Eller Pap, Og Challenge Handshake Authentication Protocol, eller CHAP, brukes begge til å godkjenne PPP-økter og kan brukes med mange Vpn-Er.
PAP fungerer som en standard påloggingsprosedyre. Det eksterne systemet godkjenner seg selv ved hjelp av en statisk brukernavn og passord kombinasjon. Passordet kan passere gjennom en etablert kryptert tunnel for ekstra sikkerhet, MEN PAP er utsatt for mange angrep. Fordi informasjonen er statisk, er den sårbar for passordgjetting og snooping.
CHAP tar en mer sofistikert og sikker tilnærming til autentisering. Det skaper en unik utfordring setning for hver godkjenning ved å generere en tilfeldig streng. Denne utfordringsfrasen er kombinert med enhetens vertsnavn ved hjelp av enveis hash-funksjoner. MED denne prosessen kan CHAP godkjenne på en måte at statisk hemmelig informasjon ikke sendes over ledningen.
La oss dykke dypere inn i forskjellene MELLOM PAP og CHAP og hvordan de kan jobbe sammen.
Hva ER PAP?
av de To Punkt-Til-Punkt-Protokollen (PPP) autentiseringsmetodene ER PAP eldre. Det ble standardisert i 1992 ved Hjelp av Ietf Request For Comments 1334. PAP er en klient-server, passordbasert godkjenningsprotokoll. Godkjenning skjer bare en gang i begynnelsen av en øktopprettingsprosess.
PAP bruker en toveis håndtrykksprosess for godkjenning ved hjelp av følgende trinn.
Trinn 1. Klienten sender brukernavn og passord til serveren.
klienten som ønsker å opprette EN PPP-økt med en server, sender en brukernavn og passordkombinasjon til serveren. Dette gjøres gjennom en godkjenningspakke.
Trinn 2. Serveren godtar legitimasjon og verifiserer.
hvis serveren lytter til godkjenningsforespørsler, godtar den brukernavn-og passordlegitimasjonen og bekrefter at de samsvarer.
hvis legitimasjonen sendes riktig, sender serveren en godkjennings-ack-responspakke til klienten. Serveren vil da etablere PPP-økten mellom klienten og serveren.
hvis legitimasjonen sendes feil, sender serveren en autentiserings-nak-responspakke til klienten. Serveren vil ikke opprette et svar basert på den negative bekreftelsen.
PAP er en enkel autentiseringsmekanisme og enkel å implementere, men den har alvorlige ulemper ved bruk i virkelige miljøer. DEN største ulempen er AT PAP sender statiske brukernavn og passord fra klienter til servere i ren tekst. Hvis dårlige aktører fanget opp denne kommunikasjonen, ved hjelp av verktøy som en pakkesniffer, kunne de godkjenne og etablere EN PPP-økt på klientens vegne.
DET er mulig å sende PAP-godkjenningsforespørsler gjennom eksisterende krypterte tunneler. Men hvis andre godkjenningsalternativer er tilgjengelige, for EKSEMPEL CHAP, bør grupper bruke en alternativ metode.
Hva ER KAP?
CHAP bruker en treveis håndtrykk prosess for å beskytte godkjenningspassordet fra dårlige aktører. Det fungerer som følger.
Trinn 1. Når koblingen er opprettet, sender godkjenningsansvarlig en godkjenningsutfordring.
nettverkstilgangsserveren utfører et vertsnavnoppslag på klienten og starter CHAP-godkjenningen ved å sende en» spør utfordring » til den eksterne brukeren. Denne utfordringen inkluderer en tilfeldig generert utfordringsstreng.
Trinn 2. Klienten utfører vertsnavn oppslag.
klienten bruker passordet som både klienten og serveren kjenner til, til å opprette en kryptert enveis hash basert på utfordringsstrengen.
Trinn 3. Server dekrypterer hash og verifiserer.
serveren vil dekryptere hashen og bekrefte at den samsvarer med den første utfordringsstrengen. Hvis strengene samsvarer, svarer serveren med en godkjenningspakke. Hvis strengene ikke samsvarer, sender serveren et svar på godkjenningsfeil, og økten avsluttes.
hva er forskjellene MELLOM PAP vs CHAP?
CHAP kom sammen i 1996 i stor grad som et svar på autentiserings svakhetene i PAP. I stedet for et toveis håndtrykk bruker CHAP et treveis håndtrykk og sender ikke passordet over nettverket. CHAP bruker en kryptert hash som både klienten og serveren kjenner den delte hemmelige nøkkelen til. Dette ekstra trinnet bidrar til å eliminere sikkerhetssvakhetene som finnes i PAP.
En annen forskjell ER AT CHAP kan settes opp for å gjøre gjentatte midsession-godkjenninger. Dette er nyttig for visse ppp-økter som lar en port være åpen selv om den eksterne enheten er koblet fra. I så fall kan noen andre hente forbindelsen midsession ved å etablere fysisk tilkobling.
Hvordan kan PAP og CHAP samarbeide?
PAP og CHAP kan ikke arbeide sammen i seg selv. Men protokoller som bruker ENTEN PAP eller CHAP kan samhandle med begge autentiseringsmetoder, hvis ønskelig.
PPP kan for eksempel bruke ENTEN PAP eller CHAP for godkjenning. Så administratorer kan konfigurere kommunikasjonsprotokollen for å prøve å autentisere VIA CHAPS sikre treveis håndtrykk først og deretter falle tilbake til den mindre sikre toveis godkjenningsprosessen som finnes i PAP.