Prakbm Nama : Ira Rubiyanti

Challenge-Handshake
Tanggal : 12 Februari 2011 Kelas : 3 TKJ A
Authentication Protocol
Instruktur : Bu Neti Amelia
DIAGNOSA WAN (CHAP)
Pak Rudi Haryadi

Pengertian

CHAP adalah mekanisme otentikasi menggunakan server PPP untuk memvalidasi user remote
pada saat 3-way handshake.
CHAP mekanisme otentikasi yang di enkripsi untuk melindungi user dan password.
NAS mengirimkan challenge, yang mana terdiri dari Session ID dan challenge string ke remote
client. Pada Remote client harus menggunakan Algoritma MD- 5 one-way hashing untuk
mengembalikan user name dan kunci hash dari challenge, session ID dan client password tadi,
tetapi user name dikirimkan plain text

Ini adalah langkah umum dilakukan di CHAP:

1) Challenge : Setelah LCP (Link Control Protocol) fase selesai, dan CHAP dinegosiasikan
antara kedua perangkat, authenticator mengirim pesan "challenge" ke peer.
2) Response : Aktifitas peer merespon dengan nilai yang dihitung melalui fungsi "satu arah
hash " (Message Digest 5 (MD5)).
3) Success or Failure : Setelah authenticator memeriksa respon terhadap perhitungan
tersendiri dari nilai hash yang diharapkan. Jika nilai cocok, otentikasi berhasil. Jika tidak,
maka sambungan diakhiri.

Keuntungan

CHAP memberikan perlindungan terhadap serangan pemutaran oleh peer melalui penggunaan
uatu bertahap mengubah pengenal dan variable tantangan nilai. Penggunaan tantangan berulang
dimaksudkan untuk membatasi waktu pajanan terhadap setiap serangan tunggal. authenticator ini
di mengendalikan frekuensi dan waktu dari tantangan.

Metode otentikasi ini tergantung pada sebuah "rahasia" yang hanya diketahui oleh authenticator
dan rekan itu. Rahasia ini tidak dikirim melalui link.

Meskipun otentikasi hanya satu arah, dengan negosiasi CHAP di kedua arah set rahasia yang
sama dengan mudah dapat digunakan untuk saling otentikasi.

Sejak CHAP dapat digunakan untuk mengotentikasi banyak sistem yang berbeda, nama bidang
dapat digunakan sebagai indeks untuk menemukan rahasia yang tepat dalam besar tabel rahasia.
Hal ini juga memungkinkan untuk mendukung lebih dari satu nama / pasangan rahasia per
sistem, dan untuk mengubah rahasia yang digunakan pada setiap saat selama sesi tersebut.
Kekurangan

CHAP mensyaratkan bahwa rahasia tersedia dalam bentuk plaintext. Irreversably password
terenkripsi database yang umum tersedia tidak dapat digunakan.

Hal ini tidak berguna untuk instalasi besar, karena setiap kemungkinan rahasia dijaga pada
kedua ujung link.

Pelaksanaan Catatan: Untuk menghindari mengirim rahasia di atas link lainnya dalam jaringan,
dianjurkan bahwa tantangan dan respon Nilai diperiksa pada server pusat, bukan masing-masing
jaringan mengakses server. Jika tidak, rahasia HARUS dikirim ke seperti server dalam bentuk
terenkripsi reversably. Entah kasus memerlukan terpercaya hubungan, yang berada di luar
lingkup ini spesifikasi.

Persyaratan

Pembaca dokumen ini harus memiliki pengetahuan tentang topik ini:

1) Cara mengaktifkan PPP pada interface melalui perintah ppp enkapsulasi.
2) Negosiasi debug ppp perintah output.
3) Kemampuan untuk memecahkan masalah ketika Link Control Protocol (LCP) tahap tidak
dalam keadaan terbuka. Ini karena, fase otentikasi PPP tidak dimulai sampai tahap LCP
selesai dan dalam keadaan terbuka. Jika perintah debug ppp negosiasi tidak menunjukkan
bahwa LCP terbuka, Anda harus memecahkan masalah ini sebelum melanjutkan.

Catatan: Dokumen ini tidak membahas MS-CHAP (Versi 1 atau Versi 2).

Configure CHAP

Prosedur untuk mengkonfigurasi CHAP cukup mudah. Sebagai contoh, asumsikan bahwa Anda
memiliki dua router, kiri dan kanan, dihubungkan melalui jaringan, seperti yang ditunjukkan
pada gambar berikut.
Untuk mengkonfigurasi otentikasi CHAP, lengkap langkah-langkah:

1. Pada interface, mengeluarkan perintah enkapsulasi ppp.

2. Aktifkan penggunaan otentikasi CHAP pada kedua router dengan perintah otentikasi ppp
chap.
3. Mengkonfigurasi username dan password. Untuk melakukannya, masalah username password
username perintah kata sandi, di mana username adalah nama host dari peer. Pastikan bahwa:
* Sandi yang sama pada kedua ujungnya.
*Nama router dan password yang persis sama, karena mereka adalah case-sensitive.

One-Way and Two-Way Authentication

CHAP didefinisikan sebagai metode otentikasi satu arah. Namun, Anda menggunakan CHAP di
kedua arah untuk membuat two-way authentication. Oleh karena itu, dengan dua arah CHAP,
three-way handshake yang terpisah dimulai oleh masing-masing pihak.

Dalam pelaksanaan CHAP Cisco, secara default, pihak yang disebut harus mengotentikasi
panggilan (kecuali otentikasi adalah sepenuhnya dimatikan). Oleh karena itu, one-way
authentication yang diprakarsai oleh pihak disebut otentikasi mungkin minimum. Namun,
penelepon juga dapat memverifikasi identitas pihak yang disebut, dan ini menghasilkan two-way
authentication.

One-way authentication seringkali diperlukan saat Anda terhubung ke perangkat non-Cisco.

Untuk one-way authentication, mengkonfigurasi ppp authentication chap dengan perintah.

Authentication Type Client (calling) NAS (called)

One-way (unidirectional) ppp authentication chap callin ppp authentication chap
Two-way (bidirectional) ppp authentication chap ppp authentication chap

CHAP Configuration Commands and Options

Daftar perintah CHAP :

Command
ppp authentication {chap | ms-
chap | ms-chap-v2 | eap |pap}
[callin]
ppp chap hostname username
ppp chap password password
Description
Perintah ini memungkinkan autentikasi lokal dari peer PPP
jauh dengan protokol tertentu.
Perintah ini mendefinisikan interface-CHAP hostname
tertentu. Lihat PPP to Authentication Using the ppp chap
hostname and ppp authentication chap callin Commands
for more information.
Perintah ini mendefinisikan sebuah password CHAP
interface-spesifik.
ppp direction callin | callout |
dedicated
ppp chap refuse [callin]
ppp chap wait
ppp max-bad-auth value
ppp max-bad-auth value
ppp chap ignoreus
komandonya memaksa arah panggilan.
Gunakan perintah ini bila suatu penerus bingung apakah
panggilan masuk atau keluar (misalnya, ketika terhubung
back-to-back atau dihubungkan dengan leased line dan
Channel Unit Pelayanan atau Data Service Unit (CSU /
DSU) atau ISDN Terminal Adapter (TA) yang
dikonfigurasi untuk dial).
Perintah ini Menonaktifkan otentikasi remote oleh peer
(default diaktifkan). Dengan perintah ini, CHAP otentikasi
dinonaktifkan untuk semua panggilan, yang berarti bahwa
semua upaya oleh peer untuk memaksa pengguna untuk
otentikasi dengan bantuan CHAP ditolak.
Opsi menelepon menetapkan bahwa router menolak untuk
menjawab tantangan otentikasi CHAP diterima dari peer,
tapi masih membutuhkan rekan untuk menjawab tantangan
CHAP bahwa router mengirimkan.
Perintah ini menetapkan bahwa pemanggil harus
mengotentikasi pertama (default diaktifkan).
Perintah ini menetapkan bahwa router tidak akan otentikasi
untuk peer yang meminta otentikasi CHAP sampai setelah
rekan telah dikonfirmasi sendiri ke router.
Perintah ini menetapkan yang diizinkan retries otentikasi
(nilai default adalah 0).
Perintah ini akan mengonfigurasi interface point-to-point
tidak untuk me-reset sendiri segera setelah kegagalan
otentikasi, melainkan untuk memungkinkan jumlah tertentu
retries otentikasi.
Perintah tersembunyi memungkinkan nama host yang
berbeda untuk sebuah tantangan CHAP dan respon (nilai
default dinonaktifkan).
Perintah ini mengabaikan tantangan tersembunyi CHAP
dengan nama lokal (nilai default diaktifkan).
Configuration Option Format

Sebuah ringkasan dari format Konfigurasi Opsi-Protokol Otentikasi untuk menegosiasikan

Challenge-Handshake Protokol Otentikasi ditampilkan dari kiri ke kanan.

Type :3
Length :5
Authentication-Protocol : c223 (hex) for Challenge-Handshake Authentication Protocol.
Algorithm : Bidang Algoritma adalah satu oktet dan menunjukkan metode
otentikasi untuk digunakan. Up-to-date nilai-nilai yang ditentukan
dalam terbaru "Assigned Numbers" [2]. Satu nilai diperlukan
untuk diterapkan: 5 CHAP with MD5 [3]

Packet Format

Tepat satu Challenge-Handshake Protokol Otentikasi paket dikemas dalam bidang Informasi
bingkai Data Link Layer PPP di mana medan protokol menunjukkan hex tipe c223 (Challenge-
Handshake Authentication Protocol). Sebuah ringkasan dari format paket CHAP ditampilkan di
bawah. Bidang ditularkan dari kiri ke kanan.

Kode Bidang adalah satu oktet dan mengidentifikasi jenis paket CHAP. Kode CHAP sebagai
berikut:

1. Challenge
2. Response
3. Success
4. Failure
 Identifier

Bidang Identifier adalah satu oktet dan membantu dalam tantangan pencocokan, tanggapan dan
balasan.

length

Bidang Panjang adalah dua oktet dan menunjukkan panjang CHAP paket termasuk Kode,
Identifier, Panjang dan Data bidang. Oktet di luar jangkauan field Panjang harus padding
diperlakukan sebagai Data Link Layer dan harus diabaikan pada penerimaan.

Data

Bidang Data adalah nol atau lebih oktet. Format Data lapangan ditentukan oleh kolom Kode.

Challenge dan Response

Deskripsi

Paket Challenge digunakan untuk memulai Challenge-Handshake Protokol Otentikasi.

authenticator HARUS mengirimkan CHAP paket dengan kolom Kode set ke 1 (Challenge).
Tambahan paket Tantangan HARUS dikirim sampai paket Respon valid diterima, atau coba
lagi opsional counter berakhir.

Peer HARUS mengharapkan paket Challenge selama Otentikasi fasa dan Jaringan-Layer fase
Protokol. Setiap kali sebuah Tantangan paket diterima, peer HARUS mengirimkan paket CHAP
dengan
kolom Kode diatur ke 2 (Response).

Setiap kali paket Respon diterima, authenticator membandingkan. Tanggapan Nilai dengan
perhitungan sendiri nilai yang diharapkan. Berdasarkan perbandingan ini, authenticator HARUS
mengirim Sukses atau
Kegagalan paket (dijelaskan di bawah).

Catatan: Karena Sukses mungkin hilang,

HARUS authenticator memungkinkan diulang paket Respon selama Network-Layer Protocol
fase setelah menyelesaikan Otentikasi fase. Untuk mencegah penemuan alternatif Nama dan
Rahasia, setiap paket Respon yang diterima memiliki Tantangan saat Identifier HARUS
mengembalikan jawaban yang sama Kode sebelumnya kembali untuk yang Challenge tertentu
(pesan Bagian MUNGKIN akan berbeda). Setiap paket Respon diterima selama semua tahap
lainnya HARUS dibuang diam-diam.

Ketika Kegagalan hilang, dan authenticator yang mengakhiri link, LCP Terminate-Permintaan
dan Hentikan-Ack memberikan indikasi alternatif yang otentikasi gagal.
Ringkasan Challenge dan format Respon paket ditampilkan di bawah.

Kode

1) untuk Challenge;
2) untuk Respon.

Identifier

Bidang Identifier adalah satu oktet. Bidang Identifier HARUS berubah setiap kali Challenge
dikirim.
Respon Identifier HARUS disalin dari lapangan Identifier dari Challenge yang menyebabkan
Respon.

Value-Size

Bidang ini adalah salah satu oktet dan menunjukkan panjang Nilai lapangan.

Value

Bidang Nilai adalah satu atau lebih oktet. Oktet paling signifikan ditransmisikan pertama.

Nilai Challenge aliran variabel oktet. Pentingnya keunikan Nilai Challenge dan perusahaan
hubungan dengan rahasia dijelaskan di atas. Tantangan Nilai HARUS berubah setiap kali
Challenge dikirim. Panjang dari Nilai Challenge tergantung pada metode yang digunakan untuk
menghasilkan pada oktet, dan independen dari algoritma hash yang digunakan.

Nilai Respon adalah hash satu arah dihitung atas aliran oktet terdiri dari Identifier, diikuti oleh
(bersambung dengan) "rahasia", diikuti oleh (concatenated dengan) Challenge Nilai. Panjang
Nilai Respon tergantung hash Algoritma yang digunakan (16 octet untuk MD5).
Success and Failure

Deskripsi

Jika nilai yang diterima dalam Respon adalah sama dengan yang diharapkan nilai, maka
pelaksanaan HARUS mengirimkan paket CHAP dengan kolom Kode set ke 3 (Sukses).

Jika nilai yang diterima dalam Respon tidak sama dengan yang diharapkan nilai, maka
pelaksanaan HARUS mengirimkan paket CHAP dengan kolom Kode diatur ke 4 (Kegagalan),
dan HARUS mengambil tindakan untuk mengakhiri link.

Ringkasan Sukses dan format Kegagalan paket ditampilkan di bawah.

Kode

3 untuk Sukses;
4 untuk Kegagalan.

Identifier

Bidang Identifier adalah satu oktet dan membantu dalam pencocokan permintaan dan balasan.
Bidang Identifier HARUS disalin dari Identifier bidang Respon yang menyebabkan balasan.

Referensi :
http://deris.unsri.ac.id/materi/security/bab3Protocol%20Secured.pdf [12 Februari 2011]

…. , 2005 Understanding and Configuring PPP CHAP Authentication [online]

http://www.cisco.com/en/US/tech/tk713/tk507/technologies_tech_note09186a00800b4131.sh
tml [ 12 Februari 2011]

Simpson,W. 1996. PPP Challenge Handshake Authentication Protocol (CHAP)

[online] http://www.ietf.org/rfc/rfc1994.txt [12 Februari 2011]

http://www.javvin.com/protocolCHAP.html [12 Februari 2011]