pap или chap что лучше
В чём разница между PAP и CHAP
PAP и CHAP – протоколы аутентификации, использующиеся в протоколе PPP. PAP расшифровывается банально – Password Authentication Protocol. Возможно такая простая расшифровка связана с тем, что протокол был одним из первых. CHAP расшифровывается как Challenge Handshake Authentication Protocol. В курсе CCNA затрагиваются оба этих протокола.
Как работает PAP?
Клиент хочет подключиться к серверу, он отправляет серверу пароль, сервер отвечает либо «Да», либо «Нет». Казалось бы, всё просто – зачем добавлять что-то ещё? Однако, всё становится сложнее, в случае если мы в силу каких-то обстоятельств обратились не к серверу, к, которому собирались, а к устройству злоумышленника. В этом случае получается, что спрашивая его, нравится ли ему наш пароль, мы по сути просто передаём ему пароль, с которым он в дальнейшем может делать всё что угодно. Чтобы избежать такой ситуации был придуман CHAP.
Как работает CHAP?
Клиент хочет обратиться к серверу, сервер передаёт клиенту случайную строку, клиент берёт пароль и эту строку и вычисляет от неё MD5 хеш, который возвращает серверу. Сервер проделывает те же операции (если он сам, конечно, знает правильный пароль). Если хеши слвпадают – клиент авторизован. Что мы получаем? Если клиент не знает пароль – хеши не совпадут, если вместо сервера злоумышленник – он получит только хеш, из которого ничего не выудить.
Таким образом, в реальных ситуациях лучше использовать протокол CHAP.
Linux.yaroslavl.ru
Нужно заметить, что комбинация FreeBSD + getty до недавнего времения не была таким сообразительным прибором, но, начиная с getty распознает начальные LCP-кадры PPP-соединения и может вызывать, скажем, pppd, который и решает, что делать дальше. До этого getty умел только выдать этот самый «login:» и приходилось использовать mgetty.
Так как наш скрипт дозвонки больше не будет заниматся аутентификацией, нужно убрать из него имя пользователя «igor«, его пароль «1234567» и ошибку аутентификации
Теперь скрипт заканчивает работу сразу же, как получит строку «login:«. Отметим, что приглашние «login:» не имеет ни какого отношения к PAP и CHAP, и pppd воспринимает его не более как шум в линии, поэтому вместо этой строки может быть любое другое приглашение провайдера, в крайнем случае, «>«.
Теперь мы можем звонить провайдеру:
Параметры user igor и remotename cool позволяют однозначно определить, какой пароль использовать при аутентификации, в данном случае это «1234567«. Как уже говорилось, параметр remotename необходим только, если мы не можем однозначно выбрать пароль из файла /etc/ppp/pap-secrets. Имя нашей стороны можно также задать с помощью параметра name igor, но параметр user имеет больший приоритет. Заметим, что хотя пароль передается в открытом виде, удалённая сторона может хранить пароль в виде результата какой-либо хэш-функции, например, MD5, в качестве параметра которой, выступает пароль.
Имена и пароли для CHAP хранятся в файле /etc/ppp/chap-secrets, права доступа у него должны быть такие же, как для PAP: и формат строк тоже совпадает:
Теперь наша строка для звонка провайдеру выглядит так:
Обратите внимание, что она отличается от PAP только отсутствием параметра remotename. Это объяснятеся тем, что удалённая сторона сама говорит своё имя, поэтому её имя, записаное в файле /etc/ppp/chap-secrets, не может быть произвольным, как это было в случае с PAP. Даже если Вы зададите параметр remotename, имя, сообщённое удалённой стороной, имеет больший приоритет. Что касается имени нашей стороны, то оно может быть также задано с помощью параметра
Кроме того, можно указать pppd, чтобы он не соглашался проводить аутентификацию тем или иным способом или же требовал какого-то одного способа с помощью различных комбинаций параметров refuse-pap, refuse-chap, require-pap и require-chap. Раньше эти параметры назывались соответственно -pap, -chap, +pap и +chap.
Авторизация и PPP
С PPP каждая система может требовать, чтобы другой конец линии опознал себя, используя один из двух опознавательных протоколов. Это Password Authentication Protocol (PAP) и Challenge Handshake Authentication Protocol (CHAP). Когда связь установлена, каждый может запросить другой конец линии, чтобы опознать себя, независимо от того, является ли он вызывающим или вызываемым. Ниже я буду говорить о «клиенте» и «сервере», когда захочу сделать различие между системой опознания и аутенфикатором. PPP daemon может спрашивать о подлинности, посылая LCP-запрос конфигурации, опознающий желаемый протокол.
PAP против CHAP
PAP в основном работает как нормальная процедура входа в систему. Клиент опознает себя, посылая имя пользователя и пароль серверу, который сравнивает их с базой данных. Этот метод легко уязвим для посторонних наблюдателей, которые могут попытаться получить пароль, слушая последовательную линию.
CHAP не имеет этих недостатков. С CHAP аутенфикатор (сервер) посылает беспорядочно сгенерированную «challenge»-строку клиенту, наряду с именем хоста. Клиент использует имя хоста (hostname) для того, чтобы искать соответствующий шифр, объединяет его с challenge и шифрует строку, используя однонаправленную hash-функцию. Результат будет возвращен на сервер наряду с hostname клиента. Сервер теперь выполняет те же самые вычисления и опознает клиента.
Другая особенность CHAP то, что он не требует опознания клиента для опознания самого себя при запуске, но посылает challenge в определенные промежутки времени, чтобы удостовериться, не был ли клиент заменен злоумышленником, например, переключив телефонные линии.
Файл для CHAP
Когда надо опознать себя с некоторым сервером, используя CHAP, pppd ищет в файле chap-secrets запись с именем клиента, равным локальному hostname, и именем сервера, равного удаленному hostname, посланному в CHAP Challenge. При требовании опознавания себя роли просто поменялись: pppd будет искать запись с именем клиента, приравненным к удаленному hostname (посланному в CHAP-ответе клиенту) и имя сервера, приравненное локальному хосту.
Типовой файл chap-secrets для vlager :
Файл для PAP
Файл шифров PAP очень похож на тот, который используется CHAP. Первые два поля всегда содержат имена пользователя и сервера, третье поле хранит шифр PAP. Когда удаленная машина посылает запрос опознания, pppd использует запись, которая имеет поле сервера равное локальному hostname, и поле пользователя, равное имени пользователя, посланному в запросе. Когда опознание произойдет, pppd выберет шифр, который будет послан с полем пользователя, приравненным к локальному имени пользователя, и полем сервера, приравненным к удаленному hostname.
В четвертом поле (и всех следующих) Вы можете определить, какие адреса IP разрешены точно, как в файле шифров CHAP. Удаленная машина затем может запроситьь только адреса из этого списка. В типовом файле мы требуем, чтобы c3po использовал реальный адрес IP.
Заметьте, что PAP довольно слабый опознавательный метод, и лучше использовать CHAP, если это возможно. Я не буду здесь описывать PAP в деталях: если Вы заинтересованы в использовании PAP, то найдете больше сведений на pppd(8) man-странице.
Аутентификация PAP и CHAP
Аутентификация по имени и паролю
Это наиболее часто используемый метод аутентификации. Варианты:
— Отсутствие проверки имен пользователей и паролей. Некоторые администраторы разрешают доступ к сетям и ресурсам без проверки имен пользователей и паролей.
— Статические имена пользователей и пароли. Остаются неизменными до тех пор, пока не будут изменены администратором системы или пользователем.
— Имена пользователей и пароли, меняющиеся со временем. Становятся недействительными по истечении определенного времени, после которого без смены пароля доступ не возможен.
— Одноразовые пароли. Для каждого пользователя генерируется секретная парольная фраза. При каждом сеансе аутентификации из секретной фразы и данных полученных с сервера формируется уникальный хэш-код, который передается на сервер. На основе полученного хэша сервер принимает решение о предоставлении доступа. Алгоритм построен так, что сгенерировать правильный хэш-код, на основании передаваемых по сети или хранящихся на сервере данных невозможно.
PAP (Password Authentication Protocol) – протокол аутентификации пароля
CHAP (Challenge Handshake Authentication Protocol) – протокол аутентификации с предварительным согласованием вызова
Данные протоколы наиболее часто применяются для авторизации при использовании протокола PPP.
Протокол PPP используется для удаленного подключения через телефонную сеть и каналы ISDN. Является стандартным протоколом инкапсуляции для транспортировки протоколов сетевого уровня. Пришло на смену протоколу SLIP, допускает шифрование, динамическую IP-адресацию и аутентификацию соединений.
Аутентификация PAP для PPP:
Процесс установления соединения:
1. Удаленный клиент устанавливает связь.
2. Удаленный клиент сообщает серверу доступа о том, что используется протокол PPP.
3. Сервер доступа извещает клиента о применении PAP в ходе этого сеанса связи.
4. Удаленный клиент посылает имя пользователя и пароль в формате PAP.
5. Сервер доступа сравнивает имя пользователя и пароль с сохраненными в базе данными и принимает или отвергает их.
— Имя пользователя/пароль передаются в открытом виде.
Аутентификация CHAP для PPP:
Протокол CHAP предлагает более надежный метод аутентификации, чем PAP поскольку не предполагает передачу реального пароля по каналу связи.
Процесс установления соединения:
1. Удаленный клиент устанавливает связь по протоколу PPP.
2. Сервер доступа предлагает удаленному клиенту использовать CHAP.
3. Производится процедура трехходового квитирования, которая состоит из следующих шагов:
— сервер доступа посылает сообщение запроса удаленному клиенту;
— удаленный клиент возвращает значение однонаправленной хэш-функции;
— сервер доступа обрабатывает полученное значение хэширования, и если оно совпадает со значением вычисленном сервером, аутентификация считается успешной.
CHAP предполагает периодический контроль аутентичности клиента с помощью повторного использования процедуры трехходового квитирования.
MS-CHAP – измененная фирмой Microsoft версия, используемая в системах Windows NT.
Средства авторизации требуют определить множество атрибутов, описывающих права пользователя. Значения атрибутов сохраняются в локальной или удаленной базе данных. Когда пользователь пытается получить удаленный доступ к системе, сервер доступа определяет права пользователя и ограничивает его возможности.
Когда средства аудита активизированы, сервер доступа создает контрольные записи действий пользователей, которые сохраняются на сервере доступа или в удаленной базе данных.
Запись аудита состоит из пар атрибут/значение обычно содержащих: имя пользователя, IP адрес пользователя, имя сервиса, время начала и окончания доступа, объем переданных данных, имя сервера доступа.
Серверы управления доступом
Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет
Протокол аутентификации по паролю (PAP)
Из этих двух протоколов аутентификации PAP менее защищен, поскольку пароль отправляется в виде открытого текста и выполняется только при первоначальном установлении соединения.
Протокол аутентификации пароля (PAP) —
PAP — это протокол аутентификации пароля, используемый PPP-ссылками для проверки пользователей. PAP-аутентификация требует от вызывающего устройства ввода имени пользователя и пароля. Если учетные данные совпадают с локальной базой данных вызываемого устройства или в удаленной базе данных AAA, то в этом случае разрешается доступ.
Характеристики —
Некоторые из особенностей PAP:
Существует небольшая топология, в которой есть 2 маршрутизатора, а именно R1 и R2. R1 имеет ip-адрес 10.1.1.1/30 на s0 / 0, а R2 имеет ip-адрес 10.1.1.2/30 на s0 / 0.
Сначала мы создадим локальную базу данных на R1, указав имя пользователя и пароль:
Настройка локальной базы данных на R2:
Помните, по умолчанию HDLC настроен на маршрутизаторах Cisco, поэтому сначала мы должны изменить инкапсуляцию на PPP и включить PAP.
Включение PAP на R2:
Здесь обратите внимание, что имя пользователя и пароль чувствительны к регистру. Также на роутере R1 мы должны указать имя пользователя и пароль.
Заметка —
Эта команда также может использоваться на маршрутизаторе, который хочет аутентифицироваться (вызывающий маршрутизатор) в случае односторонней аутентификации, то есть только вызывающий маршрутизатор будет аутентифицироваться.
Если работает двусторонняя аутентификация, то есть клиент и удаленное устройство будут аутентифицироваться друг с другом, то нам нужно создать локальную базу данных и использовать эту команду на обоих устройствах.
Кроме того, если мы хотим сначала использовать CHAP и PAP в качестве резервной копии при сбое CHAP, мы можем настроить его с помощью команды.
Также, если мы хотим использовать CHAP в качестве резервной копии, используйте команду.
Когда использовать PAP —
PAP обычно используется в следующих сценариях:
Преимущество CHAP над PAP —
Некоторые из преимуществ:
Преимущество PAP над CHAP —
Единственное преимущество PAP по сравнению с CHAP состоит в том, что он поддерживается всеми поставщиками сетевых операционных систем, поэтому можно сказать, что PAP используется там, где CHAP не поддерживается. Но если CHAP поддерживается, то рекомендуется использовать CHAP, поскольку он более защищен.