PPP AUTHENTICATION METODLARI PAP VE CHAP

Merhabalar değerli agciyiz.net okurları, bu ay WAN haberleşmesinde kullanılan PPP (Point to Point ) protokolünün session kurulma sırasında kullandığı kimlik doğrulama metodları olan PAP ve CHAP dan bahsedelim.

Başlıkta da adı geçtiği gibi PPP kimlik denetimi için kullanılan iki farklı yöntem vardır. Bunlar PAP (Password Authenticaton Protokol) ve CHAP (Challenge Handshake Authentication Protokol) dır. Uzak ağlardaki routerlarla haberleşebilmek için kullanılan encapsulation metodu olan PPP doğru cihazların haberleştiğine emin olabilmek için kimlik denetimi yapar. Bu kimlik denetimi PPP oturumun başlaması için zorunlu değil, opsiyoneldir. Fakat bu kimlik denetimi bir takım atakların olmasını önler, güvenlik sağlar. Genel birkaç cümleden sonra isterseniz PAP ve CHAP’a geçelim 🙂

PAP’da authentication 2 way handshake şeklinde olur. Öncelikle her iki cihazda da karşı taraftaki cihazın username ve password bilgileri girilir. Daha sonra PAP için her cihaz kendi username ve password bilgilerini gönderir. Karşı cihazda daha önceden tanımlanmış username ve password ile gönderilen bu bilgiler örtüşürse authentication başarı ile gerçekleşir. Yani bu 2 way handshake’de birinci safha bilgileri gönderme, ikinci safha ise gönderilen bilgilerin eşleşme durumuna göre accept ya da reject geri dönüşüm paketi şeklinde olur. PAP authentication için iki tarafta verilen şifreler aynı olmak zorunda değildir. Bu şifrelerin önceden diğer cihazda tanımlanmış olmaları yeterlidir. PAP bu iki metod arasında daha az güvenilir olandır. Çünkü haberleşme sırasında veriler, clear text olarak gider. Bu da playback atak dediğimiz, bilgileri alıp, geri paket gönderme yaparak oturuma dahil olmaya olanak sağlar. Ayrıca PAP’da oturum bir kez kurulunca tekrar kimlik doğrulama yapılmaz. Bunlar PAP’ın güvenlik açıklarıdır.

CHAP’da durum PAP’dakinden biraz farklıdır. Burada authentication 3 way handshake şeklinde olur. Ayrıca paketler cihazlar arasında yol alırken clear text biçiminde değil de md5 hash’e tabi tutularak yollanır. Bu da daha güvenli bir oturum demektir.

CHAP, 3 way handshake’de birinci safha’da cihazlardan biri rastlantısal olarak elde ettiği bir kelimeyi challenge değeri olarak karşı tarafa yollar. İkinci safha’da challenge değerini alan bu cihaz username ve password bilgisi ile bu challenge değerini md5 hash’e tabi tutarak karşı tarafa yollar. Son safha’da challenge değerini yollayan cihaz da kendi içinde aynı işlemi yapar ve md5 hash’in verdiği 128 bitlik veri karşı taraftan aldığı veri ile uyuşuyorsa oturum başlar, uyuşmuyorsa authentication failed 🙂

CHAP’da her iki cihaz için verilen şifreler aynı olmak zorundadır ki md5 hash’den aynı sonuç alınabilsin. CHAP’ın bir diğer güvenlik avantajı ise kimlik doğrulamayı belirli aralıklarla yapıyor olmasıdır. Her seferinde de farklı bir challenge değeri üretilir. Araya girmek isteyen biri, cihazların gönderdiği challenge değerleri rastlantısal olduğu için md5 sonucu eşleşecek bir veri gönderemez, dolayısıyla oturumu başlatamaz.

Esenlikler dilerim..

Mustafa ÜNALDI
İstanbul 2010

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir