« L'authentification CHAP (Challenge-Handshake Authentication) est l'un des rares protocoles d'authentification qui n'envoient pas de secret partagé entre l'utilisateur ou la partie demandant l'accès et l'authentificateur. Il s'agit d'un protocole point à point (PPP) développé par l'Internet Engineering Task Force, IETF. Notamment, il est utile lors du démarrage initial de la liaison et des vérifications périodiques de la communication entre le routeur et l'hôte.
Par conséquent, CHAP est un protocole de vérification d'identité qui fonctionne sans envoyer de secret partagé ou de secret mutuel entre l'utilisateur (partie demandant l'accès) et l'authentificateur (partie vérifiant l'identité).
Bien qu'il soit toujours basé sur un secret partagé, l'authentificateur envoie un message de défi à l'utilisateur demandant l'accès et non un secret partagé. La partie demandant l'accès répondra avec une valeur généralement calculée à l'aide de la valeur de hachage unidirectionnelle. La partie vérifiant l'identité vérifiera la réponse en fonction de son calcul.
L'authentification ne réussira que si les valeurs correspondent. Cependant, le processus d'authentification échouera si le demandeur d'accès envoie une valeur différente de celle de l'authentificateur. Et même après une authentification de connexion réussie, l'authentificateur peut envoyer un défi à l'utilisateur de temps en temps pour maintenir la sécurité en limitant le temps d'exposition à d'éventuelles attaques.
Comment fonctionne CHAP
CHAP fonctionne selon les étapes suivantes :
1. Un client établit une liaison PPP vers un NAS (Network Access Server) demandant une authentification.
2. L'expéditeur envoie un défi à la partie demandant l'accès.
3. Le demandeur d'accès répond au défi en utilisant l'algorithme de hachage unidirectionnel MD5. Dans la réponse, le client enverra un nom d'utilisateur, ainsi que le cryptage du défi, le mot de passe du client et l'ID de session.
4. Le serveur (authentificateur) vérifiera la réponse en la comparant à la valeur de hachage attendue en fonction de son défi.
5. Le serveur initie une connexion si les valeurs correspondent. Cependant, il mettra fin à la connexion si les valeurs ne correspondent pas. Même lors de la connexion, le serveur peut toujours demander au client d'envoyer une réponse aux nouveaux messages de défi puisque CHAP identifie fréquemment les changements.
Top 5 des caractéristiques du CHAP
CHAP possède un éventail de fonctionnalités qui le différencient des autres protocoles. Les fonctionnalités incluent :
-
- Contrairement à TCP, CHAP utilise un protocole d'établissement de liaison à trois voies. L'authentificateur envoie un défi au client, et le client répond en utilisant une fonction de hachage unidirectionnelle. L'authentificateur fait correspondre la réponse en fonction de sa valeur calculée et finalement accorde ou refuse l'accès.
- Le client utilise une fonction de hachage unidirectionnelle MD5.
- Le serveur vérifie de temps en temps la connexion et envoie des défis à l'utilisateur pour garantir la sécurité et minimiser les attaques lors des sessions.
- CHAP demande souvent un texte en clair du secret mutuel.
- Les variables changent continuellement, donnant aux réseaux plus de sécurité que PAP.
Les 4 paquets CHAP différents
L'authentification CHAP utilise les paquets suivants :
-
- Paquet défi- Il s'agit du paquet que l'authentificateur envoie au client ou au demandeur d'accès une fois que le client a créé une liaison PPP. Ce paquet commence au début du protocole d'établissement de liaison à trois voies. Il contient une valeur d'identifiant, un champ pour la valeur aléatoire et un champ pour le nom de l'authentificateur.
- Paquet de réponse- Il s'agit de la réponse que la partie demandeuse d'accès renvoie à l'authentificateur. Il a un champ Valeur contenant la valeur de hachage unidirectionnelle générée, un champ de nom et une valeur d'identifiant. La machine cliente définira automatiquement le champ de nom du paquet sur le mot de passe.
- Pack Réussite- Le serveur enverra un paquet de réussite si la réponse de hachage de l'utilisateur correspond aux valeurs calculées par le serveur. Une fois qu'un serveur envoie un paquet de réussite, le système établit une connexion.
- Paquet d'échec – Le serveur envoie un paquet d'échec si la valeur générée diffère. Cela implique également qu'il n'y aura pas de connexion.
Configuration de CHAP sur les machines d'authentification et utilisateur
Les étapes suivantes sont nécessaires lors de la configuration de CHAP :
un. Lancez les commandes ci-dessous sur les machines serveur/d'authentification et utilisateur. Habituellement, ce seront toujours des machines homologues.
b. Modifiez les noms d'hôte des deux machines à l'aide de la commande ci-dessous. Tapez la commande dans chacune des machines homologues.
c. Enfin, fournissez un nom d'utilisateur et un mot de passe pour chaque machine à l'aide de la commande ci-dessous.
Conclusion
Notamment, les développeurs de CHAP ont développé CHAP a conçu ce protocole pour protéger les systèmes contre les attaques de lecture en s'assurant que la partie demandant l'accès utilise une variable et un identifiant qui changent progressivement. En outre, l'authentificateur contrôle le moment et la fréquence d'envoi des défis à un utilisateur ou à une partie demandant l'accès.