PAP Versus CHAP


El PAP, que es utilizado por muchos proveedores de Internet (ISP), funciona básicamente de la misma forma que el procedimiento normal de login. El cliente se autentifica a si mismo enviando un nombre de usuario y una contraseña (opcionalmente encriptada) al servidor, la cual es comparada por el servidor con su base de datos de claves/secrets. 11 Esta técnica es vulnerable a los intrusos que pueden intentar obtener la contraseña escuchando en una línea de serie y a otros que hagan sucesivos intentos de ataque por el método de prueba y error.
El CHAP no tiene estos defectos. Con el CHAP, el autentificador (i.e. el servidor) envía una cadena de “reto” generada aleatoriamente al cliente, junto a su nombre de ordenador. El cliente utiliza el nombre del ordenador para buscar la clave apropiada, la combina con el reto, y encripta la cadena utilizando una función de codificación de un solo sentido. El resultado es devuelto al servidor junto con el nombre del ordenador cliente. El servidor realiza ahora la misma computación, y advierte al cliente si obtiene el mismo resultado.
Otra característica del CHAP es que no solicita autentificación al cliente solamente al comienzo de la sesión, sino que envía retos a intervalos regulares para asegurarse de que el cliente no ha sido reemplazado por un intruso, por ejemplo cambiando la línea telefónica, o debido a una configuración erronea del modem que causa que el demonio PPP no se perciva que la llamada original de telefono se ha cortado y algún otro se ha conectado.
El pppd mantiene las claves secretas para el CHAP y el PAP en dos ficheros separados, llamados /etc/
ppp/pap- secret s y /et c/ppp/chap- secrets respectivamente. Si introduce un ordenador remoto en alguno de los dos ficheros, tendrá un buen control de cual de los protocolos CHAP o PAP se utilizara para autentificarnos con el y viceversa.
Por defecto, elpppd no pide autentificación al ordenador remoto, pero aceptara el autentificarse a si mismo cuando se lo pida el ordenador remoto. Como el CHAP es mucho mas fuerte que el PAP, el pppd intenta usar el anterior siempre que es posible. Si el otro ordenador no lo acepta, o el pppd no encuentra una clave CHAP para el sistema remoto es su fichero chap- secret s, cambia al PAP. Si tampoco tiene clave PAP para su compañero, renunciará a autentificarse. Como consecuencia de esto, se cerrará la conexión.
Este comportamiento puede ser modificado de varias formas. Por ejemplo, cuando se añade la palabra auth, el pppd solicitara al otro ordenador que se autentifique. El pppd aceptara el uso del CHAP o el PAP para ello, siempre y cuando tenga una clave para su compañero en su base de datos CHAP o PAP respectivamente. Hay otras opciones para activar o no un determinado protocolo de autentificación, pero no las describiré aquí. Puede leer la página de manual del pppd(8) para mas detalles.
Si todos los sistemas con los que conversa en PPP están de acuerdo en autentificarse con usted, debería poner la opción auth en el fichero global /etc/ppp/options y definir contraseñas para cada sistema en el fichero chap-secrets. Si un sistema no acepta el CHAP, añada una entrada para él al fichero pap-secrets. De esta forma, puede asegurarse de que ningún sistema sin autentificar se conecta a su ordenador.
Las dos secciones siguientes hablan sobre los dos ficheros de claves del PPP, pap-secrets y chap-secrets. Están situados en /etc/ppp y contienen tripletas de clientes, servidores y contraseñas, seguidas opcionalmente por una lista de direcciones IP. La interpretación de los campos de servidor y cliente es distinta en el CHAP y el PAP, y también depende de si nos autentificamos nosotros con el otro ordenador, o si solicitamos al servidor que se autentifique con nosotros.

Califica este Artículo

Categoría: Conectividad y Redes.




Deja una respuesta