Password Authentication Protocol sau PAP și Challenge Handshake Authentication Protocol sau CHAP sunt ambele utilizate pentru autentificarea sesiunilor PPP și pot fi utilizate cu multe VPN-uri.
PAP funcționează ca o procedură standard de conectare. Sistemul de la distanță se autentifică utilizând o combinație statică de nume de utilizator și parolă. Parola poate trece printr-un tunel criptat stabilit pentru securitate suplimentară, dar PAP este supus numeroaselor atacuri. Deoarece informațiile sunt statice, este vulnerabil la parola ghicitul și snooping.
CHAP adoptă o abordare mai sofisticată și mai sigură a autentificării. Se creează o frază provocare unică pentru fiecare autentificare prin generarea unui șir aleatoriu. Această frază de provocare este combinată cu numele de gazdă ale dispozitivului folosind funcții hash unidirecționale. Cu acest proces, CHAP se poate autentifica într-un mod în care informațiile secrete statice nu sunt trimise prin fir.
să se arunca cu capul mai adânc în diferențele dintre PAP și cap și modul în care acestea pot lucra împreună.
ce este PAP?
dintre cele două metode de autentificare Point-to-Point Protocol (PPP), PAP este mai vechi. A fost standardizat în 1992 prin cererea IETF pentru comentarii 1334. PAP este un client-server, protocol de autentificare bazat pe parolă. Autentificarea are loc o singură dată la începutul unui proces de stabilire a sesiunii.
PAP utilizează un proces de strângere de mână bidirecțională pentru autentificare utilizând pașii următori.
Pasul 1. Clientul trimite numele de utilizator și parola la server.
clientul care dorește să stabilească o sesiune PPP cu un server trimite serverului o combinație de nume de utilizator și parolă. Acest lucru se realizează printr-un pachet de cerere de autentificare.
Pasul 2. Serverul acceptă acreditările și verifică.
dacă serverul ascultă cererile de autentificare, acesta va accepta acreditările de nume de utilizator și parolă și va verifica dacă se potrivesc.
dacă acreditările sunt trimise corect, serverul va trimite clientului un pachet de răspuns authentication-ack. Serverul va stabili apoi sesiunea PPP între client și server.
dacă acreditările sunt trimise incorect, serverul va trimite clientului un pachet de răspuns authentication-nak. Serverul nu va stabili un răspuns bazat pe confirmarea negativă.
PAP este un mecanism simplu de autentificare și ușor de implementat, dar are dezavantaje serioase în utilizarea sa în medii din lumea reală. Cel mai mare dezavantaj este că PAP trimite nume de utilizator statice și parole de la clienți la servere în text simplu. Dacă actorii răi au interceptat această comunicare, folosind instrumente precum un sniffer de pachete, ar putea autentifica și stabili o sesiune PPP în numele clientului.
este posibil să trimiteți cereri de autentificare PAP prin tuneluri criptate existente. Dar, dacă sunt disponibile alte opțiuni de autentificare, cum ar fi CHAP, echipele ar trebui să utilizeze o metodă alternativă.
ce este cap?
CHAP folosește un proces de strângere de mână cu trei căi pentru a proteja parola de autentificare de actori răi. Funcționează după cum urmează.
Pasul 1. După stabilirea legăturii, autentificatorul trimite o provocare de autentificare.
serverul de acces la rețea efectuează o căutare a numelui de gazdă pe client și inițiază autentificarea CHAP trimițând o „solicitare provocare” utilizatorului la distanță. Această provocare include un șir de provocare generat aleator.
Pasul 2. Clientul efectuează căutare nume de gazdă.
clientul folosește parola pe care atât clientul, cât și serverul o cunosc pentru a crea un hash criptat într-o direcție bazat pe șirul de provocare.
Pasul 3. Server decriptează hash și verifică.
serverul va decripta hash-ul și va verifica dacă se potrivește cu șirul de provocare inițial. Dacă șirurile se potrivesc, serverul răspunde cu un pachet de autentificare-succes. Dacă șirurile nu se potrivesc, serverul trimite un răspuns la mesajul authentication-failure și sesiunea este terminată.
care sunt diferențele dintre PAP vs. CHAP?
CHAP a apărut în 1996 în mare parte ca răspuns la punctele slabe de autentificare inerente PAP. În loc de o strângere de mână bidirecțională, CHAP folosește o strângere de mână în trei direcții și nu trimite parola în rețea. CHAP folosește un hash criptat pentru care atât clientul, cât și serverul cunosc cheia secretă partajată. Acest pas suplimentar ajută la eliminarea punctelor slabe de securitate găsite în PAP.
o altă diferență este cap poate fi configurat pentru a face autentificări repetate midsession. Acest lucru este util pentru anumite sesiuni PPP care lasă un port deschis, chiar dacă dispozitivul la distanță s-a deconectat. În acest caz, altcineva ar putea ridica conexiunea midsession prin stabilirea conectivității fizice.
Cum pot PAP și CHAP să lucreze împreună?
PAP și CHAP nu pot lucra împreună în sine. Dar protocoalele care utilizează fie PAP, fie CHAP pot interacționa cu ambele metode de autentificare, dacă se dorește.
de exemplu, PPP poate folosi PAP sau CHAP pentru autentificare. Deci, administratorii ar putea configura protocolul de comunicații pentru a încerca să se autentifice mai întâi prin strângerea de mână sigură în trei direcții a lui CHAP și apoi să revină la procesul de autentificare mai puțin sigur, bidirecțional, găsit în PAP.