Prakbm Challenge-Handshake

Authentication Protocol

(CHAP)

Nama : Ira Rubiyanti

Tanggal : 12 Februari 2011 Kelas : 3 TKJ A

DIAGNOSA WAN Instruktur : Bu Neti Amelia

Pak Rudi Haryadi

Pengertian

CHAP adalah mekanisme otentikasi menggunakan server PPP untuk memvalidasi user remote

pada saat 3-way handshake.

CHAP mekanisme otentikasi yang di enkripsi untuk melindungi user dan password.

NAS mengirimkan challenge, yang mana terdiri dari Session ID dan challenge string ke remote

client. Pada Remote client harus menggunakan Algoritma MD- 5 one-way hashing untuk

mengembalikan user name dan kunci hash dari challenge, session ID dan client password tadi,

tetapi user name dikirimkan plain text

Ini adalah langkah umum dilakukan di CHAP:

1) Challenge : Setelah LCP (Link Control Protocol) fase selesai, dan CHAP dinegosiasikan

antara kedua perangkat, authenticator mengirim pesan "challenge" ke peer.

2) Response : Aktifitas peer merespon dengan nilai yang dihitung melalui fungsi "satu arah

hash " (Message Digest 5 (MD5)).

3) Success or Failure : Setelah authenticator memeriksa respon terhadap perhitungan

tersendiri dari nilai hash yang diharapkan. Jika nilai cocok, otentikasi berhasil. Jika tidak,

maka sambungan diakhiri.

Keuntungan

CHAP memberikan perlindungan terhadap serangan pemutaran oleh peer melalui penggunaan

uatu bertahap mengubah pengenal dan variable tantangan nilai. Penggunaan tantangan berulang

dimaksudkan untuk membatasi waktu pajanan terhadap setiap serangan tunggal. authenticator ini

di mengendalikan frekuensi dan waktu dari tantangan.

Metode otentikasi ini tergantung pada sebuah "rahasia" yang hanya diketahui oleh authenticator

dan rekan itu. Rahasia ini tidak dikirim melalui link.

Meskipun otentikasi hanya satu arah, dengan negosiasi CHAP di kedua arah set rahasia yang

sama dengan mudah dapat digunakan untuk saling otentikasi.

Sejak CHAP dapat digunakan untuk mengotentikasi banyak sistem yang berbeda, nama bidang

dapat digunakan sebagai indeks untuk menemukan rahasia yang tepat dalam besar tabel rahasia.

Hal ini juga memungkinkan untuk mendukung lebih dari satu nama / pasangan rahasia per

sistem, dan untuk mengubah rahasia yang digunakan pada setiap saat selama sesi tersebut.

Kekurangan

CHAP mensyaratkan bahwa rahasia tersedia dalam bentuk plaintext. Irreversably password

terenkripsi database yang umum tersedia tidak dapat digunakan.

Hal ini tidak berguna untuk instalasi besar, karena setiap kemungkinan rahasia dijaga pada

kedua ujung link.

Pelaksanaan Catatan: Untuk menghindari mengirim rahasia di atas link lainnya dalam jaringan,

dianjurkan bahwa tantangan dan respon Nilai diperiksa pada server pusat, bukan masing-masing

jaringan mengakses server. Jika tidak, rahasia HARUS dikirim ke seperti server dalam bentuk

terenkripsi reversably. Entah kasus memerlukan terpercaya hubungan, yang berada di luar

lingkup ini spesifikasi.

Persyaratan

Pembaca dokumen ini harus memiliki pengetahuan tentang topik ini:

1) Cara mengaktifkan PPP pada interface melalui perintah ppp enkapsulasi.

2) Negosiasi debug ppp perintah output.

3) Kemampuan untuk memecahkan masalah ketika Link Control Protocol (LCP) tahap tidak

dalam keadaan terbuka. Ini karena, fase otentikasi PPP tidak dimulai sampai tahap LCP

selesai dan dalam keadaan terbuka. Jika perintah debug ppp negosiasi tidak menunjukkan

bahwa LCP terbuka, Anda harus memecahkan masalah ini sebelum melanjutkan.

Catatan: Dokumen ini tidak membahas MS-CHAP (Versi 1 atau Versi 2).

Configure CHAP

Prosedur untuk mengkonfigurasi CHAP cukup mudah. Sebagai contoh, asumsikan bahwa Anda

memiliki dua router, kiri dan kanan, dihubungkan melalui jaringan, seperti yang ditunjukkan

pada gambar berikut.

Untuk mengkonfigurasi otentikasi CHAP, lengkap langkah-langkah:

1. Pada interface, mengeluarkan perintah enkapsulasi ppp.

2. Aktifkan penggunaan otentikasi CHAP pada kedua router dengan perintah otentikasi ppp

chap.

3. Mengkonfigurasi username dan password. Untuk melakukannya, masalah username password

username perintah kata sandi, di mana username adalah nama host dari peer. Pastikan bahwa:

* Sandi yang sama pada kedua ujungnya.

*Nama router dan password yang persis sama, karena mereka adalah case-sensitive.

One-Way and Two-Way Authentication

CHAP didefinisikan sebagai metode otentikasi satu arah. Namun, Anda menggunakan CHAP di

kedua arah untuk membuat two-way authentication. Oleh karena itu, dengan dua arah CHAP,

three-way handshake yang terpisah dimulai oleh masing-masing pihak.

Dalam pelaksanaan CHAP Cisco, secara default, pihak yang disebut harus mengotentikasi

panggilan (kecuali otentikasi adalah sepenuhnya dimatikan). Oleh karena itu, one-way

authentication yang diprakarsai oleh pihak disebut otentikasi mungkin minimum. Namun,

penelepon juga dapat memverifikasi identitas pihak yang disebut, dan ini menghasilkan two-way

authentication.

One-way authentication seringkali diperlukan saat Anda terhubung ke perangkat non-Cisco.

Untuk one-way authentication, mengkonfigurasi ppp authentication chap dengan perintah.

Authentication Type Client (calling) NAS (called)

One-way (unidirectional) ppp authentication chap callin ppp authentication chap

Two-way (bidirectional) ppp authentication chap ppp authentication chap

CHAP Configuration Commands and Options

Daftar perintah CHAP :

Command Description

ppp authentication {chap | ms-

chap | ms-chap-v2 | eap |pap}

[callin]

Perintah ini memungkinkan autentikasi lokal dari peer PPP

jauh dengan protokol tertentu.

ppp chap hostname username Perintah ini mendefinisikan interface-CHAP hostname

tertentu. Lihat PPP to Authentication Using the ppp chap

hostname and ppp authentication chap callin Commands

for more information.

ppp chap password password Perintah ini mendefinisikan sebuah password CHAP

interface-spesifik.

ppp direction callin | callout |

dedicated

komandonya memaksa arah panggilan.

Gunakan perintah ini bila suatu penerus bingung apakah

panggilan masuk atau keluar (misalnya, ketika terhubung

back-to-back atau dihubungkan dengan leased line dan

Channel Unit Pelayanan atau Data Service Unit (CSU /

DSU) atau ISDN Terminal Adapter (TA) yang

dikonfigurasi untuk dial).

ppp chap refuse [callin] Perintah ini Menonaktifkan otentikasi remote oleh peer

(default diaktifkan). Dengan perintah ini, CHAP otentikasi

dinonaktifkan untuk semua panggilan, yang berarti bahwa

semua upaya oleh peer untuk memaksa pengguna untuk

otentikasi dengan bantuan CHAP ditolak.

Opsi menelepon menetapkan bahwa router menolak untuk

menjawab tantangan otentikasi CHAP diterima dari peer,

tapi masih membutuhkan rekan untuk menjawab tantangan

CHAP bahwa router mengirimkan.

ppp chap wait Perintah ini menetapkan bahwa pemanggil harus

mengotentikasi pertama (default diaktifkan).

Perintah ini menetapkan bahwa router tidak akan otentikasi

untuk peer yang meminta otentikasi CHAP sampai setelah

rekan telah dikonfirmasi sendiri ke router.

ppp max-bad-auth value Perintah ini menetapkan yang diizinkan retries otentikasi

(nilai default adalah 0).

Perintah ini akan mengonfigurasi interface point-to-point

tidak untuk me-reset sendiri segera setelah kegagalan

otentikasi, melainkan untuk memungkinkan jumlah tertentu

retries otentikasi.

ppp max-bad-auth value Perintah tersembunyi memungkinkan nama host yang

berbeda untuk sebuah tantangan CHAP dan respon (nilai

default dinonaktifkan).

ppp chap ignoreus Perintah ini mengabaikan tantangan tersembunyi CHAP

dengan nama lokal (nilai default diaktifkan).

Configuration Option Format

Sebuah ringkasan dari format Konfigurasi Opsi-Protokol Otentikasi untuk menegosiasikan

Challenge-Handshake Protokol Otentikasi ditampilkan dari kiri ke kanan.

Type : 3

Length : 5

Authentication-Protocol : c223 (hex) for Challenge-Handshake Authentication Protocol.

Algorithm : Bidang Algoritma adalah satu oktet dan menunjukkan metode

otentikasi untuk digunakan. Up-to-date nilai-nilai yang ditentukan

dalam terbaru "Assigned Numbers" [2]. Satu nilai diperlukan

untuk diterapkan: 5 CHAP with MD5 [3]

Packet Format

Tepat satu Challenge-Handshake Protokol Otentikasi paket dikemas dalam bidang Informasi

bingkai Data Link Layer PPP di mana medan protokol menunjukkan hex tipe c223 (Challenge-

Handshake Authentication Protocol). Sebuah ringkasan dari format paket CHAP ditampilkan di

bawah. Bidang ditularkan dari kiri ke kanan.

Kode Bidang adalah satu oktet dan mengidentifikasi jenis paket CHAP. Kode CHAP sebagai

berikut:

1. Challenge

2. Response

3. Success

4. Failure

Identifier

Bidang Identifier adalah satu oktet dan membantu dalam tantangan pencocokan, tanggapan dan

balasan.

length

Bidang Panjang adalah dua oktet dan menunjukkan panjang CHAP paket termasuk Kode,

Identifier, Panjang dan Data bidang. Oktet di luar jangkauan field Panjang harus padding

diperlakukan sebagai Data Link Layer dan harus diabaikan pada penerimaan.

Data

Bidang Data adalah nol atau lebih oktet. Format Data lapangan ditentukan oleh kolom Kode.

Challenge dan Response

Deskripsi

Paket Challenge digunakan untuk memulai Challenge-Handshake Protokol Otentikasi.

authenticator HARUS mengirimkan CHAP paket dengan kolom Kode set ke 1 (Challenge).

Tambahan paket Tantangan HARUS dikirim sampai paket Respon valid diterima, atau coba

lagi opsional counter berakhir.

Peer HARUS mengharapkan paket Challenge selama Otentikasi fasa dan Jaringan-Layer fase

Protokol. Setiap kali sebuah Tantangan paket diterima, peer HARUS mengirimkan paket CHAP

dengan

kolom Kode diatur ke 2 (Response).

Setiap kali paket Respon diterima, authenticator membandingkan. Tanggapan Nilai dengan

perhitungan sendiri nilai yang diharapkan. Berdasarkan perbandingan ini, authenticator HARUS

mengirim Sukses atau

Kegagalan paket (dijelaskan di bawah).

Catatan: Karena Sukses mungkin hilang,

HARUS authenticator memungkinkan diulang paket Respon selama Network-Layer Protocol

fase setelah menyelesaikan Otentikasi fase. Untuk mencegah penemuan alternatif Nama dan

Rahasia, setiap paket Respon yang diterima memiliki Tantangan saat Identifier HARUS

mengembalikan jawaban yang sama Kode sebelumnya kembali untuk yang Challenge tertentu

(pesan Bagian MUNGKIN akan berbeda). Setiap paket Respon diterima selama semua tahap

lainnya HARUS dibuang diam-diam.

Ketika Kegagalan hilang, dan authenticator yang mengakhiri link, LCP Terminate-Permintaan

dan Hentikan-Ack memberikan indikasi alternatif yang otentikasi gagal.

Ringkasan Challenge dan format Respon paket ditampilkan di bawah.

Kode

1) untuk Challenge;

2) untuk Respon.

Identifier

Bidang Identifier adalah satu oktet. Bidang Identifier HARUS berubah setiap kali Challenge

dikirim.

Respon Identifier HARUS disalin dari lapangan Identifier dari Challenge yang menyebabkan

Respon.

Value-Size

Bidang ini adalah salah satu oktet dan menunjukkan panjang Nilai lapangan.

Value

Bidang Nilai adalah satu atau lebih oktet. Oktet paling signifikan ditransmisikan pertama.

Nilai Challenge aliran variabel oktet. Pentingnya keunikan Nilai Challenge dan perusahaan

hubungan dengan rahasia dijelaskan di atas. Tantangan Nilai HARUS berubah setiap kali

Challenge dikirim. Panjang dari Nilai Challenge tergantung pada metode yang digunakan untuk

menghasilkan pada oktet, dan independen dari algoritma hash yang digunakan.

Nilai Respon adalah hash satu arah dihitung atas aliran oktet terdiri dari Identifier, diikuti oleh

(bersambung dengan) "rahasia", diikuti oleh (concatenated dengan) Challenge Nilai. Panjang

Nilai Respon tergantung hash Algoritma yang digunakan (16 octet untuk MD5).

Success and Failure

Deskripsi

Jika nilai yang diterima dalam Respon adalah sama dengan yang diharapkan nilai, maka

pelaksanaan HARUS mengirimkan paket CHAP dengan kolom Kode set ke 3 (Sukses).

Jika nilai yang diterima dalam Respon tidak sama dengan yang diharapkan nilai, maka

pelaksanaan HARUS mengirimkan paket CHAP dengan kolom Kode diatur ke 4 (Kegagalan),

dan HARUS mengambil tindakan untuk mengakhiri link.

Ringkasan Sukses dan format Kegagalan paket ditampilkan di bawah.

Kode

3 untuk Sukses;

4 untuk Kegagalan.

Identifier

Bidang Identifier adalah satu oktet dan membantu dalam pencocokan permintaan dan balasan.

Bidang Identifier HARUS disalin dari Identifier bidang Respon yang menyebabkan balasan.

Referensi :

http://deris.unsri.ac.id/materi/security/bab3Protocol%20Secured.pdf [12 Februari 2011]

…. , 2005 Understanding and Configuring PPP CHAP Authentication [online]

http://www.cisco.com/en/US/tech/tk713/tk507/technologies_tech_note09186a00800b4131.sh

tml [ 12 Februari 2011]

Simpson,W. 1996. PPP Challenge Handshake Authentication Protocol (CHAP)

[online] http://www.ietf.org/rfc/rfc1994.txt [12 Februari 2011]

http://www.javvin.com/protocolCHAP.html [12 Februari 2011]