Protokol pro ověřování hesla (PAP) a Protokol pro ověřování výzev Handshake (CHAP) se používají k ověřování relací PPP a lze je použít s mnoha VPN.
PAP funguje jako standardní postup přihlášení. Vzdálený systém se autentizuje pomocí kombinace statického uživatelského jména a hesla. Heslo může projít zavedeným šifrovaným tunelem pro další zabezpečení, ale PAP je vystaven mnoha útokům. Protože informace jsou statické, jsou náchylné k hádání hesla a snoopingu.
CHAP zaujímá sofistikovanější a bezpečnější přístup k ověřování. Vytvoří jedinečnou výzvu frázi pro každé ověřování generováním náhodného řetězce. Tato výzva je kombinována s názvy hostitelů zařízení pomocí jednosměrných hash funkcí. S tímto procesem může CHAP ověřit způsobem, že statické tajné informace nejsou zasílány po drátu.
Podívejme se hlouběji na rozdíly mezi PAP a CHAP a na to, jak mohou společně pracovat.
Co je to PAP?
Ze dvou metod ověřování pomocí protokolu PPP je protokol PAP starší. To bylo standardizováno v roce 1992 prostřednictvím IEEE Žádost o připomínky 1334. PAP je ověřovací protokol typu klient-server, založený na hesle. Ověření proběhne pouze jednou na začátku procesu vytváření relace.
PAP používá pro ověřování obousměrný handshake proces pomocí následujících kroků.
Krok 1. Klient odešle uživatelské jméno a heslo na server.
Klient, který chce navázat relaci PPP se serverem, odešle na server kombinaci uživatelského jména a hesla. To se provádí prostřednictvím paketu požadavku na ověření.
Krok 2. Server přijme pověření a ověří.
Pokud server poslouchá požadavky na ověření, přijme pověření uživatelského jména a hesla a ověří, že se shodují.
Pokud jsou přihlašovací údaje odeslány správně, server odešle klientovi paket odpovědi s ověřením. Server poté naváže relaci PPP mezi klientem a serverem.
Pokud jsou přihlašovací údaje odeslány nesprávně, server odešle klientovi paket odpovědí ověřování nak. Na základě negativního potvrzení server nevytvoří odpověď.
PAP je jednoduchý ověřovací mechanismus, který se snadno implementuje, ale jeho použití v reálných prostředích má vážné nevýhody. Největší nevýhodou je, že PAP odesílá statická uživatelská jména a hesla z klientů na servery v prostém textu. Pokud špatní aktéři zachytili tuto komunikaci, mohli pomocí nástrojů, jako je sniffer paketů, autentizovat a navázat PPP relaci jménem klienta.
Je možné odeslat požadavky na ověření PAP prostřednictvím stávajících šifrovaných tunelů. Pokud jsou však k dispozici další možnosti ověřování, například CHAP, měly by týmy použít alternativní metodu.
Co je CHAP?
CHAP používá třícestný proces handshake k ochraně hesla ověřování před špatnými aktéry. Funguje to následovně.
Krok 1. Klient zahájí autentizaci a server generuje výzvu.
Klient zahájí autentizaci CHAP zasláním “dotazu na výzvu” na server. Server odpoví náhodně vygenerovaným řetězcem výzvy.
Krok 2. Klient provede vyhledávání názvu hostitele.
Klient provede vyhledávání názvu hostitele na serveru a k vytvoření šifrovaného jednosměrného hashe použije heslo, které klient i server znají.
Krok 3. Server dešifruje hash a ověří.
Server dešifruje hash a ověří, zda odpovídá řetězci počáteční výzvy. Pokud se řetězce shodují, server odpoví paketem ověření úspěšnosti. Pokud se řetězce neshodují, server odešle odpověď na zprávu o selhání ověření a relace je ukončena.
Jaké jsou rozdíly mezi PAP a CHAP?
CHAP přišel v roce 1996 převážně jako reakce na slabiny autentizace inherentní PAP. Namísto obousměrného handshake používá CHAP třícestné handshake a neposílá heslo po síti. CHAP používá šifrovaný hash, pro který klient i server znají sdílený tajný klíč. Tento další krok pomáhá eliminovat slabiny zabezpečení nalezeno v PAP.
Další rozdíl spočívá v tom, že CHAP lze nastavit tak, aby prováděl opakované ověřování uprostřed cesty. To je užitečné pro určité relace PPP, které nechávají port otevřený, přestože se vzdálené zařízení odpojilo. V takovém případě by někdo jiný mohl vyzvednout střední relaci připojení vytvořením fyzické konektivity.
Jak mohou PAP a CHAP spolupracovat?
PAP a CHAP nemohou samy o sobě spolupracovat. Ale protokoly, které používají buď PAP, nebo CHAP, mohou v případě potřeby komunikovat s oběma metodami ověřování.
Například PPP může k ověření použít buď PAP, nebo CHAP. Správci tedy mohli nakonfigurovat komunikační protokol tak, aby se nejprve pokusil ověřit pomocí zabezpečeného třícestného podání protokolu CHAP a poté přejít zpět k méně zabezpečenému obousměrnému ověřovacímu procesu, který se nachází v PAP.
