'Ang isa sa ilang mga protocol ng pagpapatunay na hindi nagpapadala ng isang nakabahaging lihim sa pagitan ng user o ng partidong humihiling ng access at ng authenticator ay ang Challenge-Handshake Authentication (CHAP). Ito ay isang Point-to-Point Protocol (PPP) na binuo ng Internet Engineering Task Force, IETF. Kapansin-pansin, ito ay madaling gamitin sa panahon ng paunang pagsisimula ng link at pana-panahong pagsusuri ng komunikasyon sa pagitan ng router at ng host.
Samakatuwid, ang CHAP ay isang protocol sa pag-verify ng pagkakakilanlan na gumagana nang hindi nagpapadala ng ibinahaging lihim o kapwa lihim sa pagitan ng user (partido na humihiling ng access) at ng authenticator (partido na nagpapatunay ng pagkakakilanlan).
Habang nakabatay pa rin ito sa isang nakabahaging lihim, nagpapadala ang authenticator ng mensahe ng hamon sa user na humihiling ng access at hindi isang nakabahaging lihim. Ang partidong humihiling ng access ay tutugon sa isang halaga na karaniwang kinakalkula gamit ang one-way na halaga ng hash. Susuriin ng partidong nagpapatunay ng pagkakakilanlan ang tugon batay sa pagkalkula nito.
Magiging matagumpay lamang ang pagpapatotoo kung magkatugma ang mga halaga. Gayunpaman, mabibigo ang proseso ng pagpapatunay kung ang partidong humihiling ng access ay magpapadala ng halaga na iba sa halaga ng authenticator. At kahit na matapos ang matagumpay na pagpapatunay ng koneksyon, maaaring magpadala ang authenticator ng hamon sa user paminsan-minsan upang mapanatili ang seguridad sa pamamagitan ng paglilimita sa oras ng pagkakalantad para sa mga posibleng pag-atake.'
Paano Gumagana ang CHAP
Gumagana ang CHAP sa mga sumusunod na hakbang:
1. Ang isang kliyente ay nagtatatag ng isang link ng PPP sa isang NAS (Network Access Server) na humihiling ng pagpapatunay.
2. Nagpapadala ang nagpadala ng hamon sa partidong humihiling ng access.
3. Tumutugon ang partidong humihiling ng access sa hamon gamit ang one-way na hash algorithm ng MD5. Sa tugon, magpapadala ang kliyente ng username, kasama ang pag-encrypt ng hamon, password ng kliyente, at session ID.
4. Susuriin ng server (authenticator) ang tugon sa pamamagitan ng paghahambing nito sa inaasahang halaga ng hash batay sa hamon nito.
5. Ang server ay magsisimula ng isang koneksyon kung ang mga halaga ay tumutugma. Gayunpaman, tatapusin nito ang koneksyon kung hindi tumutugma ang mga halaga. Kahit na sa koneksyon, maaari pa ring hilingin ng server ang kliyente na magpadala ng tugon sa mga bagong mensahe ng hamon dahil madalas na tinutukoy ng CHAP ang pagbabago.
Nangungunang 5 Katangian ng CHAP
Ang CHAP ay may isang hanay ng mga tampok na nagpapaiba sa iba pang mga protocol. Kasama sa mga tampok ang:
-
- Hindi tulad ng TCP, gumagamit ang CHAP ng 3-way handshaking protocol. Nagpapadala ang authenticator ng hamon sa kliyente, at tumugon ang kliyente gamit ang one-way na hash function. Tinutugma ng authenticator ang tugon batay sa nakalkulang halaga nito at sa wakas ay nagbibigay o tinatanggihan ang pag-access.
- Gumagamit ang kliyente ng MD5 one-way hash function.
- Sinusuri ng server ang koneksyon sa pana-panahon at nagpapadala ng mga hamon sa user upang magarantiya ang seguridad at mabawasan ang mga pag-atake sa panahon ng mga session.
- Ang CHAP ay madalas na humihingi ng plaintext ng lihim ng isa't isa.
- Ang mga variable ay patuloy na nagbabago, na nagbibigay sa mga network ng higit na seguridad kaysa sa PAP.
Ang 4 na Iba't ibang CHAP Packet
Ginagamit ng CHAP authentication ang mga sumusunod na packet:
-
- Packet ng Hamon- Ito ang packet na ipinapadala ng authenticator sa kliyente o sa partidong humihiling ng access sa sandaling lumikha ang kliyente ng link ng PPP. Ang packet na ito ay nagsisimula sa simula ng 3-way handshaking protocol. Naglalaman ito ng value ng identifier, field para sa random na value, at field para sa pangalan ng authenticator.
- Packet ng Tugon- Ito ang tugon na ibinabalik ng partidong humihiling ng access sa authenticator. Mayroon itong field ng Value na naglalaman ng one-way na hash value na nabuo, field ng pangalan, at value ng identifier. Awtomatikong itatakda ng client machine ang field ng pangalan ng packet sa password.
- Packet ng Tagumpay- Magpapadala ang server ng success packet kung ang tugon ng hash ng user ay tumutugma sa mga value na kinakalkula ng server. Kapag nagpadala ang server ng success packet, magtatatag ang system ng koneksyon.
- Packet ng Pagkabigo – Nagpapadala ang server ng failure packet kung mag-iba ang nabuong value. Ipinahihiwatig din nito na walang magiging koneksyon.
Pag-configure ng CHAP sa Authenticating at User Machines
Ang mga sumusunod na hakbang ay kinakailangan kapag kino-configure ang CHAP:
a. Simulan ang mga command sa ibaba sa parehong server/authenticating at user machine. Kadalasan, ang mga ito ay palaging magiging peer machine.
b. Baguhin ang mga hostname ng parehong machine gamit ang command sa ibaba. I-type ang command sa bawat isa sa mga peer machine.
c. Panghuli, magbigay ng username at password para sa bawat makina gamit ang command sa ibaba.
Konklusyon
Kapansin-pansin, idinisenyo ng mga developer ng CHAP na binuo ang CHAP ang protocol na ito upang protektahan ang mga system laban sa mga pag-atake ng playback sa pamamagitan ng pagtiyak na ang partidong humihiling ng access ay gumagamit ng isang unti-unting nagbabagong variable at identifier. Bukod pa rito, kinokontrol ng authenticator ang timing at dalas ng pagpapadala ng mga hamon sa isang user o isang partidong humihiling ng access.