“Kullanıcı veya erişim talep eden taraf ile kimlik doğrulayıcı arasında paylaşılan bir sır göndermeyen birkaç kimlik doğrulama protokolünden biri, Challenge-Handshake Authentication'dır (CHAP). İnternet Mühendisliği Görev Gücü, IETF tarafından geliştirilen bir Noktadan Noktaya Protokoldür (PPP). Özellikle, ilk bağlantı başlatma ve yönlendirici ile ana bilgisayar arasındaki iletişimin periyodik kontrolleri sırasında kullanışlı olur.
Bu nedenle CHAP, kullanıcı (erişim talep eden taraf) ile kimlik doğrulayan (kimlik doğrulayan taraf) arasında paylaşılan bir sır veya karşılıklı sır göndermeden çalışan bir kimlik doğrulama protokolüdür.
Hâlâ paylaşılan bir sırrı temel alıyor olsa da, kimlik doğrulayıcı, paylaşılan bir sır değil, erişim isteyen kullanıcıya bir sorgulama mesajı gönderir. Erişim talep eden taraf, genellikle tek yönlü karma değeri kullanılarak hesaplanan bir değerle yanıt verir. Kimliği doğrulayan taraf, yanıtı hesaplamasına göre kontrol edecektir.
Kimlik doğrulama, yalnızca değerler eşleşirse başarılı olur. Ancak, erişim isteyen taraf, kimlik doğrulayıcınınkinden farklı bir değer gönderirse, kimlik doğrulama işlemi başarısız olur. Başarılı bağlantı kimlik doğrulamasından sonra bile, kimlik doğrulayıcı, olası saldırılara maruz kalma süresini sınırlayarak güvenliği korumak için zaman zaman kullanıcıya bir sorgulama gönderebilir.
CHAP Nasıl Çalışır?
CHAP aşağıdaki adımlarda çalışır:
1. Bir istemci, kimlik doğrulama talep eden bir NAS'a (Ağ Erişim Sunucusu) bir PPP bağlantısı kurar.
2. Gönderen, erişim isteyen tarafa bir sorgulama gönderir.
3. Erişim talep eden taraf, MD5 tek yönlü karma algoritmasını kullanarak zorluğa yanıt verir. Yanıtta istemci, sorgulamanın şifrelenmesi, istemci parolası ve oturum kimliğinin yanı sıra bir kullanıcı adı gönderir.
4. Sunucu (doğrulayıcı) yanıtı, sorgusuna dayalı olarak beklenen karma değeriyle karşılaştırarak kontrol edecektir.
5. Değerler eşleşirse sunucu bir bağlantı başlatır. Ancak değerler eşleşmezse bağlantıyı sonlandıracaktır. CHAP sık sık değişikliği tanımladığından, bağlantı kurulduğunda bile, sunucu istemciden yeni sorgulama mesajlarına yanıt göndermesini isteyebilir.
CHAP'ın En Önemli 5 Özelliği
CHAP, onu diğer protokollerden farklı kılan bir dizi özelliğe sahiptir. Özellikler şunları içerir:
-
- TCP'den farklı olarak CHAP, 3 yönlü bir anlaşma protokolü kullanır. Kimlik doğrulayıcı, istemciye bir sorgulama gönderir ve istemci, tek yönlü bir karma işlevi kullanarak yanıt verir. Kimlik doğrulayıcı, yanıtı hesaplanan değerine göre eşleştirir ve son olarak erişim izni verir veya reddeder.
- İstemci, bir MD5 tek yönlü karma işlevi kullanır.
- Sunucu zaman zaman bağlantıyı kontrol eder ve oturumlar sırasında güvenliği garanti etmek ve saldırıları en aza indirmek için kullanıcıya sorgulamalar gönderir.
- CHAP genellikle ortak sırrın açık metnini ister.
- Değişkenler sürekli değişir ve ağlara PAP'tan daha fazla güvenlik sağlar.
4 Farklı CHAP Paketi
CHAP kimlik doğrulaması aşağıdaki paketleri kullanır:
-
- Meydan Okuma Paketi- Bu, istemci bir PPP bağlantısı oluşturduğunda, kimlik doğrulayıcının istemciye veya erişim talep eden tarafa gönderdiği pakettir. Bu paket, 3-yollu el sıkışma protokolünün başlangıcında başlar. Bir tanımlayıcı değeri, rastgele değer için bir alan ve kimlik doğrulayıcının adı için bir alan içerir.
- Yanıt Paketi- Bu, erişim isteyen tarafın kimlik doğrulayıcıya geri gönderdiği yanıttır. Oluşturulan tek yönlü hash değerini, bir ad alanını ve bir tanımlayıcı değerini içeren bir Değer alanına sahiptir. İstemci makine, paketin ad alanını otomatik olarak parolaya ayarlayacaktır.
- Başarı Paketi- Kullanıcının hash yanıtı, sunucu tarafından hesaplanan değerlerle eşleşirse, sunucu bir başarı paketi gönderir. Bir sunucu bir başarı paketi gönderdiğinde, sistem bir bağlantı kuracaktır.
- Arıza Paketi – Oluşturulan değerin farklı olması durumunda sunucu bir hata paketi gönderir. Bu aynı zamanda bağlantı olmayacağı anlamına da gelir.
Kimlik Doğrulama ve Kullanıcı Makinelerinde CHAP'yi Yapılandırma
CHAP'yi yapılandırırken aşağıdaki adımlar gereklidir:
a. Hem sunucu/kimlik doğrulama hem de kullanıcı makinelerinde aşağıdaki komutları başlatın. Genellikle, bunlar her zaman eş makineler olacaktır.
b. Aşağıdaki komutu kullanarak her iki makinenin ana bilgisayar adlarını değiştirin. Komutu eş makinelerin her birine yazın.
c. Son olarak, aşağıdaki komutu kullanarak her makine için bir kullanıcı adı ve şifre sağlayın.
Çözüm
Özellikle, CHAP geliştiricileri, erişim talep eden tarafın aşamalı olarak değişen bir değişken ve tanımlayıcı kullanmasını sağlayarak sistemleri oynatma saldırılarına karşı korumak için bu protokolü CHAP'yi geliştirdi. Ayrıca, kimlik doğrulayıcı, bir kullanıcıya veya erişim talep eden bir tarafa sorgulama gönderme zamanlamasını ve sıklığını kontrol eder.