“Salah satu dari sedikit protokol otentikasi yang tidak mengirim rahasia bersama antara pengguna atau pihak yang meminta akses dan autentikator adalah Challenge-Handshake Authentication (CHAP). Ini adalah Point-to-Point Protocol (PPP) yang dikembangkan oleh Internet Engineering Task Force, IETF. Khususnya, ini sangat berguna selama startup tautan awal dan pemeriksaan komunikasi berkala antara router dan host.
Oleh karena itu, CHAP adalah protokol verifikasi identitas yang bekerja tanpa mengirimkan rahasia bersama atau rahasia bersama antara pengguna (pihak yang meminta akses) dan autentikator (pihak yang memverifikasi identitas).
Meskipun masih didasarkan pada rahasia bersama, autentikator mengirimkan pesan tantangan kepada pengguna yang meminta akses dan bukan rahasia bersama. Pihak yang meminta akses akan merespons dengan nilai yang biasanya dihitung menggunakan nilai hash satu arah. Pihak yang memverifikasi identitas akan memeriksa respons berdasarkan perhitungannya.
Otentikasi hanya akan berhasil jika nilainya cocok. Namun, proses otentikasi akan gagal jika pihak yang meminta akses mengirimkan nilai yang berbeda dari nilai autentikator. Dan bahkan setelah otentikasi koneksi berhasil, autentikator dapat mengirim tantangan kepada pengguna dari waktu ke waktu untuk menjaga keamanan dengan membatasi waktu pemaparan untuk kemungkinan serangan.”
Bagaimana CHAP Bekerja?
CHAP bekerja dalam langkah-langkah berikut:
1. Klien membuat tautan PPP ke NAS (Network Access Server) yang meminta otentikasi.
2. Pengirim mengirimkan tantangan ke pihak yang meminta akses.
3. Pihak yang meminta akses menanggapi tantangan menggunakan algoritma hash satu arah MD5. Sebagai tanggapan, klien akan mengirim nama pengguna, di samping enkripsi tantangan, kata sandi klien, dan ID sesi.
4. Server (authenticator) akan memeriksa respon dengan membandingkannya dengan nilai hash yang diharapkan berdasarkan tantangannya.
5. Server memulai koneksi jika nilainya cocok. Namun, itu akan mengakhiri koneksi jika nilainya tidak cocok. Bahkan setelah koneksi, server masih dapat meminta klien untuk mengirim respons ke pesan tantangan baru karena CHAP sering mengidentifikasi perubahan.
5 Karakteristik CHAP Teratas
CHAP memiliki serangkaian fitur yang membuatnya berbeda dari protokol lain. Fitur-fiturnya meliputi:
-
- Tidak seperti TCP, CHAP menggunakan protokol handshaking 3 arah. Autentikator mengirimkan tantangan ke klien, dan klien merespons menggunakan fungsi hash satu arah. Autentikator mencocokkan respons berdasarkan nilai yang dihitungnya dan akhirnya memberikan atau menolak akses.
- Klien menggunakan fungsi hash satu arah MD5.
- Server memeriksa koneksi dari waktu ke waktu dan mengirimkan tantangan kepada pengguna untuk menjamin keamanan dan meminimalkan serangan selama sesi.
- CHAP sering meminta plaintext dari rahasia bersama.
- Variabel berubah terus menerus, memberikan keamanan jaringan lebih dari PAP.
4 Paket CHAP yang Berbeda
Otentikasi CHAP menggunakan paket-paket berikut:
-
- Paket Tantangan- Ini adalah paket yang dikirim oleh autentikator ke klien atau pihak yang meminta akses setelah klien membuat tautan PPP. Paket ini dimulai pada awal protokol jabat tangan 3 arah. Ini berisi nilai pengenal, bidang untuk nilai acak, dan bidang untuk nama autentikator.
- Paket Respon- Ini adalah respons yang dikirim kembali oleh pihak yang meminta akses ke autentikator. Ini memiliki bidang Nilai yang berisi nilai hash satu arah yang dihasilkan, bidang nama, dan nilai pengenal. Mesin klien akan secara otomatis mengatur bidang nama paket ke kata sandi.
- Paket Sukses- Server akan mengirimkan paket sukses jika respons hash pengguna cocok dengan nilai yang dihitung oleh server. Setelah server mengirimkan paket sukses, sistem akan membuat koneksi.
- Paket Kegagalan – Server mengirimkan paket kegagalan jika nilai yang dihasilkan berbeda. Ini juga menyiratkan bahwa tidak akan ada koneksi.
Mengonfigurasi CHAP pada Mesin Otentikasi dan Pengguna
Langkah-langkah berikut diperlukan saat mengkonfigurasi CHAP:
sebuah. Mulai perintah di bawah ini pada server/otentikasi dan mesin pengguna. Biasanya, ini akan selalu menjadi mesin rekan.
b. Ubah nama host kedua mesin menggunakan perintah di bawah ini. Ketik perintah di masing-masing mesin peer.
c. Terakhir, berikan nama pengguna dan kata sandi untuk setiap mesin menggunakan perintah di bawah ini.
Kesimpulan
Khususnya, pengembang CHAP mengembangkan CHAP yang merancang protokol ini untuk melindungi sistem dari serangan pemutaran dengan memastikan bahwa pihak yang meminta akses menggunakan variabel dan pengenal yang berubah secara bertahap. Selain itu, autentikator mengontrol waktu dan frekuensi pengiriman tantangan ke pengguna atau pihak yang meminta akses.