Protocolo de autenticación por desafío mutuo (CHAP) – Part 1

Challenge Handshake Authentication Protocol (CHAP) es un protocolo de autenticación de protocolo punto a punto (PPP) desarrollado por IETF (Grupo de trabajo de ingeniería de Internet). Se utiliza en el arranque inicial del enlace. Además, realiza comprobaciones periódicas para comprobar si el enrutador sigue comunicándose con el mismo host. 

Características :  

  • Utiliza un protocolo de negociación de 3 vías (no como TCP). Primero, el autenticador envía un paquete de desafío al par, luego, el par responde con un valor utilizando su función hash unidireccional. Luego, el autenticador compara el valor recibido con su propio valor hash calculado. Si los valores coinciden, se reconoce la autenticación; de lo contrario, se terminará la conexión.
  • Utiliza una función hash unidireccional llamada MD5.
  • También se autentica periódicamente para comprobar si la comunicación se está realizando con el mismo dispositivo o no.
  • Además, proporciona más seguridad que PAP (Procedimiento de autenticación de contraseña) ya que el valor utilizado (descubrir mediante función hash) cambia de forma variable.
  • CHAP requiere conocer el texto sin formato del secreto, ya que nunca se envía a través de la red.

Paquetes CHAP: 
Hay 4 tipos de paquetes CHAP: 

  1. Paquete de desafío : Es un paquete enviado, por el autenticador al par, al comienzo del protocolo de enlace de 3 vías CHAP. El paquete de desafío también se envía periódicamente para verificar si la conexión no se altera. Contiene valor de identificador, campo de valor que contiene valor aleatorio y también contiene campo de nombre que contiene el nombre del autenticador. El campo de nombre se utiliza para buscar contraseñas. El campo de nombre también se envía al generador de hash MD5 y se genera un valor de hash unidireccional.
  2. Paquete de respuesta : se utiliza para responder al paquete de desafío. Contiene el campo Valor que contiene el valor hash unidireccional generado, el valor del identificador y el campo de nombre. El campo Nombre del paquete de respuesta se establece en el nombre de host del enrutador par. Ahora, se busca la contraseña en el campo Nombre del paquete Desafío. El enrutador busca una entrada que coincida con el nombre de usuario en el campo Nombre del paquete Desafío y obtiene la contraseña. Luego, esta contraseña se codifica introduciéndola en el generador de hash MD5 y se genera un valor de hash de una vía. Este valor se inserta en el campo de valor del paquete de respuesta y se envía al autenticador.
  3. Paquete de éxito : ahora, el autenticador también realiza lo mismo al buscar en el campo de nombre (si tiene una entrada para ese nombre de usuario) del paquete de respuesta y al usarlo genera un valor hash. Si el valor generado es el mismo que el del par, se envía el paquete de éxito.
  4. Paquete de falla : si el valor generado es diferente, el paquete de falla se envía al par.

Configuración: 
 

Hay una pequeña topología con 2 enrutadores, a saber, enrutador1 y enrutador2. El enrutador 1 tiene la dirección IP 10.1.1.1/30 en s0/0 y el enrutador 2 tiene la dirección IP 10.1.1.2/30 en s0/0. Recuerde, por defecto, HDLC está configurado en los enrutadores Cisco, por lo tanto, primero cambie la encapsulación a PPP. 

Configurar R1:  

Router1(config)# int s0/0
Router1(config-if)# encapsulation ppp

Configurar R2:  

Router2(config)# int s0/0
Router2(config-if)# encapsulation ppp

Cambie el nombre de host de ambos enrutadores.  

Router1(config)# hostname R1
Router2(config)# hostname R2

Proporcione el nombre de usuario y la contraseña uno por uno. 

R1(config)# username R2 password GeeksforGeeks  
R2(config)# username R1 password GeeksforGeeks 

Tenga en cuenta que el nombre de usuario y la contraseña distinguen entre mayúsculas y minúsculas. Además, en el enrutador R1, debemos proporcionar el nombre de usuario de otro enrutador, es decir, R2 y viceversa.

Publicación traducida automáticamente

Artículo escrito por saurabhsharma56 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *