CHAP veya (Challenge Handshake Authentication Protocol – Zorlu El Sıkışma Kimlik Doğrulama Protokolü), bir PPP sunucusuna kimin bağlandığını kontrol eder. Sunucu istemciye üç adımda kim olduklarını sorar.
Ağ Bağlantı Güvenliğini Sağlayan CHAP Protokolü Nedir?
CHAP, iki cihaz ilk kez bağlandığında başlar. Daha sonra birbirleriyle konuştuklarında işleri güvende tutmak için gizli bir yol kullanır.
Bu protokol, İnternet sağlayıcısının kurduğu bir kullanıcının veya sunucunun gerçek olup olmadığını kontrol eder. Bunu resmi olarak RFC 1994’te açıkladılar.
CHAP bir kimlik ve değişen bir değer kullanır. Bu nedenle saldırıları uzak tutmak PAP yönteminden daha iyidir.
Ayrıca, kim olduğunuzu kontrol etmenin yanı sıra uzaktaki cihazın da bildiği bir numarayı tespit eder. Bunu MD-5 algoritması adı verilen bir şeyi kullanarak yapar.
Kimliğinizi doğrulamanın bu yolu, kullanıcı adınızı ve şifrenizi her zaman gizli bir kodla gönderir. Bu yöntem PAP yönteminde yoktur. Bu nedenle PAP yöntemi CHAP’a göre daha az güvenlidir.
Kim olduğunuzu kontrol etme şekli uzaktaki sunucuya birçok kez sorar. Bu sistem, ağa katılmaya çalışan cihaza kimliğiniz için bir istek gönderir.
Bundan sonra uzak cihaz, her iki tarafın da bildiği şeyleri yapmak için düzenli bir yol kullanır. Biraz matematik yaptıktan sonra bir numara göndererek cevap veriyor.
Böylece sunucu bu cevabın beklenenle eşleşip eşleşmediğini kontrol eder. Eğer uyuyorlarsa bağlantıyı kurar. Ancak eşleşmezlerse bağlantıyı sonlandırır.
CHAP Protokol Geçmişi
CHAP protokolünün en temel tarihi 1980’li yıllara dayanmaktadır. O zamanlar ağlar daha az karmaşıktı. Bu nedenle veriler çoğu zaman güvenli bir şekilde iletilmiyordu. Bu yüzden güvenli veri aktarımını sağlamak için kimlik doğrulama protokollerine olan ihtiyaç artmıştır. Sonuçta, geliştiriciler bunu ilk olarak RFC 1334‘te (Request for Comments – Yorum İsteği) tanıttı.
Basit bir ifadeyle CHAP’in birincil hedefi, kim olduğunuzu doğrulamak için şifrelenmemiş yöntemler oluşturmaktır. Bu, parola kullandığınızda ek bir koruma katmanı ekler.
Ayrıca bunu ağlara hızlı erişim için de yaptılar. İlk sürüm kesinlikle istemci ve sunucunun birbirlerinin kimliğini kontrol etmesine izin veriyor.
Daha sonraki sürümler sistem güvenliği ve performansında iyileştirmeler getirdi. Bunlardan biri CHAP MD5’tir. Bu gelişme kimlik doğrulamayı daha güçlü hale getirir. Başka bir deyişle, MD5 şifrelemesi veri aktarımlarına daha fazla koruma katmanı ekler.
Bugün hâlâ bazı kurum ve şirketlerde CHAP protokolünü kullanıyorlar. Özellikle uzaktan giriş ve özel çevrimiçi alan (VPN) gibi kurulumlarda güçlü koruma sağlayan bir örnek olarak görüyorlar.
CHAP Kimlik Doğrulama Yöntemleri ve Türleri
- MD5 (Message Digest Algorithm 5)
Kullanıcıların CHAP işleminde kullandığı en yaygın kimlik doğrulama yöntemidir. Bu, MD5 (Mesaj Özeti Algoritması 5) şifreleme algoritması anlamına gelir.
MD5 yönteminde sunucu ile istemci arasında şifreli bir kimlik doğrulama işlemi gerçekleşir. Böylece istemci, sunucu tarafından gönderilen rastgele bir meydan okuma değerini alır. Daha sonra bu değeri kendi şifresi ile birleştirir ve bu algoritma ile bir hash üretir.
Daha sonra oluşturulan özeti sunucuya geri gönderir. Ardından, aynı işlemi gerçekleştirir ve hesaplanan değerler eşleşirse işlem başarılı olur.
- MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)
MS-CHAP, özellikle Microsoft tabanlı sistemlerde çalışır. En sık kullanılan CHAP türlerinden biridir. Bu protokol daha fazla güvenlik ve anahtar yönetimi katmanı sunar.
- MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2)
MS-CHAPv2, öncekinin daha güncel ve güvenli bir sürümüdür. Böylece daha sağlam bir şifreleme algoritması içerir ve daha fazla güvenlik sağlar.
- EAP (Extensible Authentication Protocol)
EAP kimlik doğrulama türü, CHAP ile çalışan farklı bir sürümdür. Ağları daha esnek hale getirerek birçok modda kontrol edebilir. Ayrıca, çeşitli stratejileri denemenize de olanak tanır.
- PAP (Password Authentication Protocol)
PAP yöntemi CHAP’tan daha az güvenlidir. Güvenliği zayıflatan şifrelenmemiş şifreler gönderir. Ancak yöneticiler bunu kapalı ağlarda kullanmaya devam edebilir.
CHAP Protokolü Nasıl Çalışır?
CHAP yöntemi, kullanıcı kimlik doğrulaması için sorgulama-yanıt yöntemini kullanır. İşte çalışma mantığı şu şekildedir:
- Başlangıç Aşaması
Bağlandıktan sonra, bir prosedür her kişinin kimliğini kontrol ederek karşılıklı anlaşmayı sağlar. Yani bu sunucu ve istemci arasında gerçekleşir.
- İlk Kimlik Doğrulama Adımı
Kurulumdan sonra sunucu bir sorgulama gönderir; client bunu önceden belirlenmiş bir yöntemi kullanarak karıştırır. Bu işlem aralarında güvenli iletişim sağlar.
- Client Yanıtı
İstemci, alınan paketi kullanarak şifrelenmiş bir yanıt oluşturur. Bunu bir şifre ve sorgulamayla birleştirir, ardından doğrulama için sunucuya geri gönderir.
- Yanıtın Kontrol Edilmesi
Bu durumda sunucu, istemcinin kimliğini doğrulamak için yanıtını inceler. Daha sonra algoritma bilinen bir parolayla yanıt verir. Bu iki yanıtın eşleşip eşleşmediğini kontrol eder ve eşleşiyorsa istemciye başarılı bir şekilde izin verir.
- Başarılı Kimlik Doğrulama
Sunucu ve istemci arasındaki yanıtlar eşleşirse kimlik doğrulama başarılı olur. Böylece istemci ağa erişim kazanır ve güvenli bir şekilde iletişim kurmaya başlar.
- Sürekli Kimlik Doğrulama
Bağlantı süresi boyunca kimlik doğrulamayı periyodik olarak tekrarlar. Bu işlem veri güvenliğini arttırır. Bu, saldırganın sorgulama paketlerini ele geçirerek bağlantıyı ele geçirmesini zorlaştırır.
CHAP Avantajları ve Dezavantajları
Şimdi ağlar ve güvenlikle ilgilenen kişiler için CHAP kullanmanın iyi ve kötü yanlarına bakalım:
Avantajlar
- Güvenlik
CHAP güçlü bir kontrol yöntemi sunar ve MD5 veya MS-CHAPv2 gibi algoritmalar kullanır. Bu, istemci ve sunucu arasındaki kimlik doğrulama için çok güvenlidir. Bu nedenle şifreleri açık metin olarak göndermez. Bu nedenle güvenlik tehditlerine karşı daha dayanıklıdır.
- Gelişmiş Seçenekler
Diğerlerine göre daha iyi güvenlik seçenekleri sunar. Özellikle MS-CHAPv2 daha fazla güvenlik sağlar ve işleri daha da sıkı bir şekilde kilitler.
- Esneklik
Esnek olmakla ilgili olarak, işleri kontrol etmenin çeşitli yollarını kullanabilir. Bunlardan biri, herkesin söylediği kişi olmasını sağlamak isteyen ağ yöneticilerinin farklı ihtiyaçlarına uygun olan CHAP EAP’tir.
Dezavantajlar
- Verim
Bu protokolün çalışma sürecinde daha fazla işleme ihtiyacı var. Diğer yöntemlere göre daha yavaş olabilir. Ancak büyük ağlarda veya trafiğin yoğun olduğu işlerde performans sorunları ortaya çıkar.
- Şifre Güncelleme
Kullanıcıların şifrelerini düzenli olarak güncelleme ihtiyacını yaratır. Bu durumda şifre yönetiminde kullanıcılar açısından zorluk yaratmaktadır.
- Açık-Metin (Clear-Text) Şifrelemeyi (PAP)
PAP bir CHAP türüdür ancak şifreleri açık metin olarak gönderdiği için güvenli değildir. Böylece bazı kullanıcılar bilgiyi ağ üzerinden alır. Sonuç olarak güvenli olmayan veya kapalı ağlarda kullanmalısınız.
Özet bir tablo: