Протокол аутентификации по паролю рар

Протокол РАР предоставляет удаленному узлу простой способ подтвердить свою идентичность путем использования двухэтапного квитирования (handshake). После того как стадия создания РРР-канала закончена, удаленный узел регулярно посылает по ка­налу имя пользователя и его пароль до тех пор, пока идентичность не будет подтверждена или канал не будет закрыт. Пример работы протокола РАР приведен на рис. 13.9.

Протокол РАР не является строгим протоколом аутентификации. Пароли переда­ются по каналу в виде открытого текста, и отсутствует защита от повторного воспроиз­ведения или повторных атак с целью случайным образом пробиться в сеть. Однако по­пытки подключения, их частота и время регистрируются удаленным узлом.

Рис. 13.9. Аутентификация по протоколу РАР

CHAP

Протокол CHAP используется для периодической проверки подлинности удален­ного узла с использованием метода трехэтапного квитирования. Такая проверка осу­ществляется после создания первоначального канала и может быть повторена в любой момент времени.

Рис. 13.10. Аутентификация по протоколу CHAP

После создания канала РРР хост посылает сообщение о вызове на удаленный узел. Удаленный узел посылает в ответ соответствующее значение. Хост сравнивает его с имеющимся у него значением и, если они совпадают, подлинность подтвер­ждается. В противном случае связь прекращается. Пример работы протокола CHAP приведен на рис. 13.10.

Протокол CHAP обеспечивает защиту от атак повторного воспроизведения путем использования значения переменной вызова, которое уникально и непредсказуемо. Повторные вызовы применяются для уменьшения до минимума периода уязвимости при попытке несанкционированного входа в сеть. Локальные маршрутизаторы или серверы проверки аутентичности фиксируют частоту и время поступления вызовов.