Rozdíly mezi PAP a CHAP

Rozdíly mezi PAP a CHAP

Protokol pro ověřování hesla (PAP) a Protokol pro ověřování výzev Handshake (CHAP) se používají k ověřování relací PPP a lze je použít s mnoha VPN.

PAP funguje jako standardní postup přihlášení. Vzdálený systém se autentizuje pomocí kombinace statického uživatelského jména a hesla. Heslo může projít zavedeným šifrovaným tunelem pro další zabezpečení, ale PAP je vystaven mnoha útokům. Protože informace jsou statické, jsou náchylné k hádání hesla a snoopingu.

CHAP zaujímá sofistikovanější a bezpečnější přístup k ověřování. Vytvoří jedinečnou výzvu frázi pro každé ověřování generováním náhodného řetězce. Tato výzva je kombinována s názvy hostitelů zařízení pomocí jednosměrných hash funkcí. S tímto procesem může CHAP ověřit způsobem, že statické tajné informace nejsou zasílány po drátu.

Podívejme se hlouběji na rozdíly mezi PAP a CHAP a na to, jak mohou společně pracovat.

Co je to PAP?

Ze dvou metod ověřování pomocí protokolu PPP je protokol PAP starší. To bylo standardizováno v roce 1992 prostřednictvím IEEE Žádost o připomínky 1334. PAP je ověřovací protokol typu klient-server, založený na hesle. Ověření proběhne pouze jednou na začátku procesu vytváření relace.

PAP používá pro ověřování obousměrný handshake proces pomocí následujících kroků.

Krok 1. Klient odešle uživatelské jméno a heslo na server.

Klient, který chce navázat relaci PPP se serverem, odešle na server kombinaci uživatelského jména a hesla. To se provádí prostřednictvím paketu požadavku na ověření.

Krok 2. Server přijme pověření a ověří.

Pokud server poslouchá požadavky na ověření, přijme pověření uživatelského jména a hesla a ověří, že se shodují.

Pokud jsou přihlašovací údaje odeslány správně, server odešle klientovi paket odpovědi s ověřením. Server poté naváže relaci PPP mezi klientem a serverem.

Pokud jsou přihlašovací údaje odeslány nesprávně, server odešle klientovi paket odpovědí ověřování nak. Na základě negativního potvrzení server nevytvoří odpověď.

Obousměrný handshake diagram PAP
PAP používá k ověření a zahájení relací klienta obousměrné handshake.

PAP je jednoduchý ověřovací mechanismus, který se snadno implementuje, ale jeho použití v reálných prostředích má vážné nevýhody. Největší nevýhodou je, že PAP odesílá statická uživatelská jména a hesla z klientů na servery v prostém textu. Pokud špatní aktéři zachytili tuto komunikaci, mohli pomocí nástrojů, jako je sniffer paketů, autentizovat a navázat PPP relaci jménem klienta.

Je možné odeslat požadavky na ověření PAP prostřednictvím stávajících šifrovaných tunelů. Pokud jsou však k dispozici další možnosti ověřování, například CHAP, měly by týmy použít alternativní metodu.

Co je CHAP?

CHAP používá třícestný proces handshake k ochraně hesla ověřování před špatnými aktéry. Funguje to následovně.

Krok 1. Klient zahájí autentizaci a server generuje výzvu.

Klient zahájí autentizaci CHAP zasláním “dotazu na výzvu” na server. Server odpoví náhodně vygenerovaným řetězcem výzvy.

CHAP třícestný diagram handshake
CHAP používá třícestný handshake k autentizaci a zahájení relací klienta.

Krok 2. Klient provede vyhledávání názvu hostitele.

Klient provede vyhledávání názvu hostitele na serveru a k vytvoření šifrovaného jednosměrného hashe použije heslo, které klient i server znají.

Krok 3. Server dešifruje hash a ověří.

Server dešifruje hash a ověří, zda odpovídá řetězci počáteční výzvy. Pokud se řetězce shodují, server odpoví paketem ověření úspěšnosti. Pokud se řetězce neshodují, server odešle odpověď na zprávu o selhání ověření a relace je ukončena.

Jaké jsou rozdíly mezi PAP a CHAP?

CHAP přišel v roce 1996 převážně jako reakce na slabiny autentizace inherentní PAP. Namísto obousměrného handshake používá CHAP třícestné handshake a neposílá heslo po síti. CHAP používá šifrovaný hash, pro který klient i server znají sdílený tajný klíč. Tento další krok pomáhá eliminovat slabiny zabezpečení nalezeno v PAP.

Další rozdíl spočívá v tom, že CHAP lze nastavit tak, aby prováděl opakované ověřování uprostřed cesty. To je užitečné pro určité relace PPP, které nechávají port otevřený, přestože se vzdálené zařízení odpojilo. V takovém případě by někdo jiný mohl vyzvednout střední relaci připojení vytvořením fyzické konektivity.

Jak mohou PAP a CHAP spolupracovat?

PAP a CHAP nemohou samy o sobě spolupracovat. Ale protokoly, které používají buď PAP, nebo CHAP, mohou v případě potřeby komunikovat s oběma metodami ověřování.

Například PPP může k ověření použít buď PAP, nebo CHAP. Správci tedy mohli nakonfigurovat komunikační protokol tak, aby se nejprve pokusil ověřit pomocí zabezpečeného třícestného podání protokolu CHAP a poté přejít zpět k méně zabezpečenému obousměrnému ověřovacímu procesu, který se nachází v PAP.

Share

Leave a Reply

Your email address will not be published. Required fields are marked *