chap 认证过程.doc

PPP中的CHAP认证过程详解PPP为point to point protocol，点对点协议。;X0u0K e M i 是在串行链路上的一种封装方式。整个过程有一个重要阶段，就是认证，认证有两种方式，PAP和CHAP。PAP认证比较简单。以下为个人对PPP中的CHAP认证过程的一些理解，供大家参考，希望能对大家有所帮助。 E1O g k Y W s w首先CHAP认证的基本介绍：:w l p,J主认证方和被认证都有一对用户名和密码 例如：主认证方A的用户名为user-a，密码为pwd-a；被认证方B的用户名为user-a，密码为pwd-a。 l q M+:g$p K X Y*H o!W认证过程：1、主认证方主动发起请求，向被认证方发送一个随机提出报文和本端的用户名。m Z d R 4F A V2、被认证方收到的用户名查找自己用户表中与主认证相同的用户名所对应的密码，如果没找到则认证失败；如找到则把密码、本端用户名、连同先前的报文ID用MD5算法加密后的文件发回主认证方。 v n O4 e6z U3、主认证方收到报文后，根据报文中被认证的用户名，在自己的本地用户数据库中查找被认证方用户名对应的密码，利用报文ID、该密码和MD5算法对原随机报文加密，然后将加密的结果和被认证方发来的加密结果进行比较。如果相同则通过认证，如果不通过则认证失败。 b J$I R Y(|.O以下为通俗详细：1、A把一个随机文字，和一个咒语的上半句发给B。2、B收到后，从自己的咒语库找到下半句，利用随机文字按一种规则生成一个新的文字，并把自己的上半句话和新的文字发回A。 a F |&C d3、A收到后，根据上半句话找到自己咒语库中的下半句，对最初发出的文字约定好的规则生成新的文字，把这个文字和收到的文字进行比较，如果这些都通过则认证通过，否则不通过ISCW编辑本段CCNP培训内容ISCW（642-825）ISCW (Implementing Secure Converged Wide Area Networks) 构建安全聚合的广域网络 课程特点 通过教学和实验，使学生全面掌握安全的远程接入方法。课程覆盖的都是当下最流行的远程互联技术，尤其深入讲解各种VPN知识和防火墙知识，实用性非常强。 课程内容 在本CCNP培训课程中，学员将学习： 学习实施宽带接入技术：主要包括CABLE（电缆调制解调）技术、xDSL技术 学习实施基于帧的MPLS（多协议标签交换）：主要用于ISP，在当前的城域网络广泛部署。 学习使用VPN（虚拟专用网络）：本课程的重点。 学习网络攻击种类和缓解方法，初步掌握基础的黑客攻防技术。 学习实施IOS防火墙技术。 初步掌握IOS IPS（入侵防御系统） ISCW (Implementing Secure Converged Wide Area Networks) 实现安全的远程访问 CCNP的ISCW课程的主要内容有： 一、实现基本的家庭电信接入服务 描述电缆技术(HFC)； 描述XDSL技术； 配置ADSL(PPPoE/PPPoA)； 验证配置。 二、实现帧模式的多协议标签交换 描述帧模式多协议标签交换的组成和运行； 设置和验证帧模式的多协议标签交换。 三、实现站点到站点的IPSEC虚拟专网 描述IPSec VPN/GRE 隧道的组成和运行； 使用SDM软件配置site-to-site IPSec vpn/GRE Tunnel； 验证IPSec/GRE隧道配置； 描述配置和验证VPN的备份端口； 描述和配置Cisco基于SDM的简单VPN解决方案。 四、描述网络安全策略 描述和缓解普通网络攻击(扫描/访问/拒绝服务攻击)； 描述和缓解蠕虫,病毒和特洛伊木马攻击； 描述和缓解应用层攻击。 五、实现Cisco设备的硬件化安全 描述配置和验证自动安全/一步锁定技术的实现； 描述配置和验证Cisco路由器的AAA服务； 描述和配置使用访问控制列表来缓和威胁和攻击； 描述和配置IOS安全管理特性(SSH/SNMP/SYSLOG,NTP)。 六、实现Cisco IOS 防火墙 描述基于Cisco IOS防火墙的功能和运行(状态防火墙和CBAC)； 使用SDM软件配置Cisco IOS防火墙； 验证Cisco IOS防火墙的配置。 七、描述和配置Cisco的入侵保护系统/入侵检测系统 描述入侵保护系统和入侵检测系统的运行和功能； 使用SDM软件配置Cisco IOS的入侵保护系统PPP的PAP与CHAP深入详解 基本知识 2010-03-31 20:30:08 阅读97 评论0 字号：大中小订阅 点到点协议（Point to Point Protocol，PPP）是IETF（Internet Engineering Task Force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。它解决了SLIP中的问题，并成为正式的因特网标准。 PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。 PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能。同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。因此，应用十分广泛。 下面是我查的关于PPP协议认证的一些知识1。什么情况我们可以用show cdp nei看到自己直边的邻居呢，邻居的发现对我们在排查问题时很有帮助，我们可以通过我们左右的邻居，来判断是那台设备出现问题，只要我们在接口上把物理端口打开，然后DCE端配上时钟就可以发现邻居。Router(config-if)#do sh cdp neiCapability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port IDR2 Ser 1/0 159 R 7206VXR Ser 1/0在上图中R2为我们的邻居，本地Ser1/0与R2的Ser1/0相连，R2的设备型号为7206VXR，为Router.Router#debug cdp adjCDP neighbor info debugging is onEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int s1/0Router(config-if)#shRouter(config-if)#*Jan 29 17:06:09.883: CDP-AD: Interface Serial1/0 going down 由于shutdown的原因使的邻居断开*Jan 29 17:06:09.911: CDP-AD: Interface Serial1/0 going down*Jan 29 17:06:11.887: %LINK-5-CHANGED: Interface Serial1/0, changed state to administratively down*Jan 29 17:06:12.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to downRouter(config-if)#no shRouter(config-if)#*Jan 29 17:06:19.055: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:21.015: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up*Jan 29 17:06:21.019: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:22.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to upRouter(config-if)#do debug cdp pa cdp packet informationCDP packet info debugging is onRouter(config-if)#*Jan 29 17:06:56.167: CDP-PA: Packet received from R2 on interface Serial1/0*Jan 29 17:06:56.167: *Entry found in cache*Jan 29 17:06:58.415: CDP-PA: version 2 packet sent out on Serial1/02。PPP协议的封装R2(config-if)#do ping 192.168.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:! 在默认封装的情况下能PING通，封装为HDLCSuccess rate is 100 percent (5/5), round-trip min/avg/max = 72/96/124 msR2(config-if)#do ping 192.168.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:! 只要封装了PPP协议，而没有添加认证的情况也能PING通Success rate is 100 percent (5/5), round-trip min/avg/max = 48/76/96 msR2(config-if)#3.关于PPP CHAP认证1 CHAP原理 PPP提供了两种可选的身份认证方法：口令验证协议PAP（Password Authentication Protocol，PAP）和质询握手协议（Challenge Handshake Authentication Protocol，CHAP）。如果双方协商达成一致，也可以不使用任何身份认证方法。 CHAP认证比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为挑战字符串.如图1所示。同时，身份认证可以随时进行，包括在双方正常通信过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。图1 CHAP CHAP对端系统要求很高，因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源，因此只用在对安全要求很高的场合。 3 CHAP配置 3.1 PPP基本配置 对于同步串行接口，默认的封装格式是HDLC（Cisco私有实现）。可以使用命令encapsulation ppp将封装格式改为PPP.如图2所示。 图2 PPP串行封装 当通信双方的某一方封装格式为HDLC，而另一方为PPP时，双方关于封装协议的协商将失败。此时，此链路处于协议性关闭（protocol down）状态，通信无法进行。如图3所示。 图3 两端路由器串行接口封装格式不一致这时，在路由器RouterA与路由器RouterB的链路没有成功建立之前，路由器RouterA及RouterB的路由表将为空。看不到任何路由信息 3.2 CHAP配置 3.2.1 CHAP认证过程 同PAP一样，CHAP认证可以在一方进行，即由一方认证另一方身份，也可以进行双向身份认证。这时，要求被认证的双方都要通过对方的认证程序，否则，无法建立二者之间的链路。我们以单方认证为例分析CHAP配置过程及诊断方法。 如图4所示。当双方都封装了PPP协议且要求进行CHAP身份认证，同时它们之间的链路在物理层已激活后，认证服务器会不停地发送身份认证要求直到身份认证成功。和PAP不同的是，这时认证服务器发送的是挑战字符串。图4 CHAP验证 在图4中，当认证客户端（被认证一端）路由器RouterB发送了对挑战字符串的回应数据包后，认证服务器会按照摘要算法（MD5）验证对方的身份。如果正确，则身份认证成功，通信双方的链路最终成功建立。 如果被认证一端路由器RouterB发送了错误的挑战回应数据包，认证服务器将继续不断地发送身份认证要求直到收到正确的回应数据包为止。 3.2.2 CHAP认证服务器的配置 CHAP认证服务器的配置分为两个步骤：建立本地口令数据库、要求进行CHAP认证。 建立本地口令数据库 通过全局模式下的命令username username password password来为本地口令数据库添加记录。这里请注意，此处的username应该是对端路由器的名称，即routerb.如下所示： RouterA（config）#username routerb password samepass 要求进行CHAP认证 这需要在相应接口配置模式下使用命令ppp authentication chap来完成。如下所示： RouterA（config）#interface serial 0/0 RouterA（config-if）#ppp authentication chap 3.2.3 CHAP认证客户端的配置 CHAP认证客户端的配置只需要一个步骤（命令），即建立本地口令数据库。请注意，此处的username应该是对端路由器的名称，即routera，而口令应该和CHAP认证服务器口令数据库中的口令相同。如下所示。 RouterB（config-if）#username routera password samepass 3.2.4 CHAP的诊断 对于CHAP身份认证中出现的问题也可以利用debug ppp authentication命令进行诊断。如图5所示，它表明认证客户端发送的挑战回应数据包没有通过认证服务器的认证。图5 命令debug ppp authentication 的输出 图6表明经过若干次认证要求后，认证服务器最终收到了认证客户端发送过来的正确的挑战回应数据包。此时，双方的链路将成功建立。图6 命令debug ppp authentication 的输出 注意： 1、CHAP认证过程中，口令是大小写敏感的。 2、身份认证也可以双向进行，即互相认证。配置方法同单向认证类似，只不过需要将通信双方同时配置成为认证服务器和认证客户端。 3、口令数据库也可以存储在路由器以外的AAA或TACACS+服务器上。限于篇幅，此处不再赘述。 通信认证双方选择的认证方法可能不一样，如一方选择PAP，另一方选择CHAP，这时双方的认证协商将失败。为了避免身份认证协议过程中出现这样的失败，可以配置路由器使用两种认证方法。当第一种认证协商失败后，可以选择尝试用另一种身份认证方法。如下的命令配置路由器首先采用PAP身份认证方法。如果失败，再采用CHAP身份认证方法。 RouterA（config-if）#ppp authentication pap chap 如下的命令则相反，首先使用CHAP认证，协商失败后采用PAP认证。 RouterA（config-if）#ppp authentication chap pap4PAPPAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。PAP的弱点是用户的用户名和密码是明文发送的，有可能被协议分析软件捕获而导致安全问题。但是，因为认证只在链路建立初期进行，节省了宝贵的链路带宽。3PAP配置3.1PPP基本配置对于同步串行接口，默认的封装格式是HDLC（Cisco私有实现）。可以使用命令encapsulation ppp将封装格式改为PPP.当通信双方的某一方封装格式为HDLC，而另一方为PPP时，双方关于封装协议的协商将失败。此时，此链路处于协议性关闭（protocol down）状态，通信无法进行。这时，在路由器RouterA与路由器RouterB的链路没有成功建立之前，路由器RouterA及RouterB的路由表将为空。3.2PAP配置3.2.1PAP认证过程PAP认证可以在一方进行，即由一方认证另一方身份，也可以进行双向身份认证。这时，要求被认证的双方都要通过对方的认证程序。否则，无法建立二者之间的链路。我们以单方认证为例分析PAP配置过程及诊断方法。如图4所示。当双方都封装了PPP协议且要求进行PAP身份认证，同时它们之间的链路在物理层已激活后，认证服务器会不停地发送身份认证要求直到身份认证成功。当认证客户端（被认证一端）路由器RouterB发送了用户名或口令后，认证服务器会将收到的用户名或口令和本地口令数据库中的口令信息比对，如果正确则身份认证成功，通信双方的链路最终成功建立。如果被认证一端路由器RouterB发送了错误的用户名或口令，认证服务器将继续不断地发送身份认证要求直到收到正确的用户名和口令为止。3.2.2PAP认证