Anda di halaman 1dari 8

Prakbm Nama : Ira Rubiyanti

Challenge-Handshake
Tanggal : 12 Februari 2011 Kelas : 3 TKJ A
Authentication Protocol
Instruktur : Bu Neti Amelia
DIAGNOSA WAN (CHAP)
Pak Rudi Haryadi

Pengertian

CHAP adalah mekanisme otentikasi menggunakan server PPP untuk memvalidasi user remote
pada saat 3-way handshake.
CHAP mekanisme otentikasi yang di enkripsi untuk melindungi user dan password.
NAS mengirimkan challenge, yang mana terdiri dari Session ID dan challenge string ke remote
client. Pada Remote client harus menggunakan Algoritma MD- 5 one-way hashing untuk
mengembalikan user name dan kunci hash dari challenge, session ID dan client password tadi,
tetapi user name dikirimkan plain text

Ini adalah langkah umum dilakukan di CHAP:


1) Challenge : Setelah LCP (Link Control Protocol) fase selesai, dan CHAP dinegosiasikan
antara kedua perangkat, authenticator mengirim pesan "challenge" ke peer.
2) Response : Aktifitas peer merespon dengan nilai yang dihitung melalui fungsi "satu arah
hash " (Message Digest 5 (MD5)).
3) Success or Failure : Setelah authenticator memeriksa respon terhadap perhitungan
tersendiri dari nilai hash yang diharapkan. Jika nilai cocok, otentikasi berhasil. Jika tidak,
maka sambungan diakhiri.

Keuntungan

CHAP memberikan perlindungan terhadap serangan pemutaran oleh peer melalui penggunaan
uatu bertahap mengubah pengenal dan variable tantangan nilai. Penggunaan tantangan berulang
dimaksudkan untuk membatasi waktu pajanan terhadap setiap serangan tunggal. authenticator ini
di mengendalikan frekuensi dan waktu dari tantangan.

Metode otentikasi ini tergantung pada sebuah "rahasia" yang hanya diketahui oleh authenticator
dan rekan itu. Rahasia ini tidak dikirim melalui link.

Meskipun otentikasi hanya satu arah, dengan negosiasi CHAP di kedua arah set rahasia yang
sama dengan mudah dapat digunakan untuk saling otentikasi.

Sejak CHAP dapat digunakan untuk mengotentikasi banyak sistem yang berbeda, nama bidang
dapat digunakan sebagai indeks untuk menemukan rahasia yang tepat dalam besar tabel rahasia.
Hal ini juga memungkinkan untuk mendukung lebih dari satu nama / pasangan rahasia per
sistem, dan untuk mengubah rahasia yang digunakan pada setiap saat selama sesi tersebut.
Kekurangan

CHAP mensyaratkan bahwa rahasia tersedia dalam bentuk plaintext. Irreversably password
terenkripsi database yang umum tersedia tidak dapat digunakan.

Hal ini tidak berguna untuk instalasi besar, karena setiap kemungkinan rahasia dijaga pada
kedua ujung link.

Pelaksanaan Catatan: Untuk menghindari mengirim rahasia di atas link lainnya dalam jaringan,
dianjurkan bahwa tantangan dan respon Nilai diperiksa pada server pusat, bukan masing-masing
jaringan mengakses server. Jika tidak, rahasia HARUS dikirim ke seperti server dalam bentuk
terenkripsi reversably. Entah kasus memerlukan terpercaya hubungan, yang berada di luar
lingkup ini spesifikasi.

Persyaratan

Pembaca dokumen ini harus memiliki pengetahuan tentang topik ini:


1) Cara mengaktifkan PPP pada interface melalui perintah ppp enkapsulasi.
2) Negosiasi debug ppp perintah output.
3) Kemampuan untuk memecahkan masalah ketika Link Control Protocol (LCP) tahap tidak
dalam keadaan terbuka. Ini karena, fase otentikasi PPP tidak dimulai sampai tahap LCP
selesai dan dalam keadaan terbuka. Jika perintah debug ppp negosiasi tidak menunjukkan
bahwa LCP terbuka, Anda harus memecahkan masalah ini sebelum melanjutkan.

Catatan: Dokumen ini tidak membahas MS-CHAP (Versi 1 atau Versi 2).

Configure CHAP

Prosedur untuk mengkonfigurasi CHAP cukup mudah. Sebagai contoh, asumsikan bahwa Anda
memiliki dua router, kiri dan kanan, dihubungkan melalui jaringan, seperti yang ditunjukkan
pada gambar berikut.
Untuk mengkonfigurasi otentikasi CHAP, lengkap langkah-langkah:

1. Pada interface, mengeluarkan perintah enkapsulasi ppp.


2. Aktifkan penggunaan otentikasi CHAP pada kedua router dengan perintah otentikasi ppp
chap.
3. Mengkonfigurasi username dan password. Untuk melakukannya, masalah username password
username perintah kata sandi, di mana username adalah nama host dari peer. Pastikan bahwa:
* Sandi yang sama pada kedua ujungnya.
*Nama router dan password yang persis sama, karena mereka adalah case-sensitive.

One-Way and Two-Way Authentication

CHAP didefinisikan sebagai metode otentikasi satu arah. Namun, Anda menggunakan CHAP di
kedua arah untuk membuat two-way authentication. Oleh karena itu, dengan dua arah CHAP,
three-way handshake yang terpisah dimulai oleh masing-masing pihak.

Dalam pelaksanaan CHAP Cisco, secara default, pihak yang disebut harus mengotentikasi
panggilan (kecuali otentikasi adalah sepenuhnya dimatikan). Oleh karena itu, one-way
authentication yang diprakarsai oleh pihak disebut otentikasi mungkin minimum. Namun,
penelepon juga dapat memverifikasi identitas pihak yang disebut, dan ini menghasilkan two-way
authentication.

One-way authentication seringkali diperlukan saat Anda terhubung ke perangkat non-Cisco.

Untuk one-way authentication, mengkonfigurasi ppp authentication chap dengan perintah.

Authentication Type Client (calling) NAS (called)


One-way (unidirectional) ppp authentication chap callin ppp authentication chap
Two-way (bidirectional) ppp authentication chap ppp authentication chap

CHAP Configuration Commands and Options

Daftar perintah CHAP :

Command Description
ppp authentication {chap | ms- Perintah ini memungkinkan autentikasi lokal dari peer PPP
chap | ms-chap-v2 | eap |pap} jauh dengan protokol tertentu.
[callin]
ppp chap hostname username Perintah ini mendefinisikan interface-CHAP hostname
tertentu. Lihat PPP to Authentication Using the ppp chap
hostname and ppp authentication chap callin Commands
for more information.
ppp chap password password Perintah ini mendefinisikan sebuah password CHAP
interface-spesifik.
ppp direction callin | callout | komandonya memaksa arah panggilan.
dedicated
Gunakan perintah ini bila suatu penerus bingung apakah
panggilan masuk atau keluar (misalnya, ketika terhubung
back-to-back atau dihubungkan dengan leased line dan
Channel Unit Pelayanan atau Data Service Unit (CSU /
DSU) atau ISDN Terminal Adapter (TA) yang
dikonfigurasi untuk dial).

ppp chap refuse [callin] Perintah ini Menonaktifkan otentikasi remote oleh peer
(default diaktifkan). Dengan perintah ini, CHAP otentikasi
dinonaktifkan untuk semua panggilan, yang berarti bahwa
semua upaya oleh peer untuk memaksa pengguna untuk
otentikasi dengan bantuan CHAP ditolak.

Opsi menelepon menetapkan bahwa router menolak untuk


menjawab tantangan otentikasi CHAP diterima dari peer,
tapi masih membutuhkan rekan untuk menjawab tantangan
CHAP bahwa router mengirimkan.
ppp chap wait Perintah ini menetapkan bahwa pemanggil harus
mengotentikasi pertama (default diaktifkan).

Perintah ini menetapkan bahwa router tidak akan otentikasi


untuk peer yang meminta otentikasi CHAP sampai setelah
rekan telah dikonfirmasi sendiri ke router.
ppp max-bad-auth value Perintah ini menetapkan yang diizinkan retries otentikasi
(nilai default adalah 0).

Perintah ini akan mengonfigurasi interface point-to-point


tidak untuk me-reset sendiri segera setelah kegagalan
otentikasi, melainkan untuk memungkinkan jumlah tertentu
retries otentikasi.
ppp max-bad-auth value Perintah tersembunyi memungkinkan nama host yang
berbeda untuk sebuah tantangan CHAP dan respon (nilai
default dinonaktifkan).
ppp chap ignoreus Perintah ini mengabaikan tantangan tersembunyi CHAP
dengan nama lokal (nilai default diaktifkan).
Configuration Option Format

Sebuah ringkasan dari format Konfigurasi Opsi-Protokol Otentikasi untuk menegosiasikan


Challenge-Handshake Protokol Otentikasi ditampilkan dari kiri ke kanan.

Type :3
Length :5
Authentication-Protocol : c223 (hex) for Challenge-Handshake Authentication Protocol.
Algorithm : Bidang Algoritma adalah satu oktet dan menunjukkan metode
otentikasi untuk digunakan. Up-to-date nilai-nilai yang ditentukan
dalam terbaru "Assigned Numbers" [2]. Satu nilai diperlukan
untuk diterapkan: 5 CHAP with MD5 [3]

Packet Format

Tepat satu Challenge-Handshake Protokol Otentikasi paket dikemas dalam bidang Informasi
bingkai Data Link Layer PPP di mana medan protokol menunjukkan hex tipe c223 (Challenge-
Handshake Authentication Protocol). Sebuah ringkasan dari format paket CHAP ditampilkan di
bawah. Bidang ditularkan dari kiri ke kanan.

Kode Bidang adalah satu oktet dan mengidentifikasi jenis paket CHAP. Kode CHAP sebagai
berikut:

1. Challenge
2. Response
3. Success
4. Failure
Identifier

Bidang Identifier adalah satu oktet dan membantu dalam tantangan pencocokan, tanggapan dan
balasan.

length

Bidang Panjang adalah dua oktet dan menunjukkan panjang CHAP paket termasuk Kode,
Identifier, Panjang dan Data bidang. Oktet di luar jangkauan field Panjang harus padding
diperlakukan sebagai Data Link Layer dan harus diabaikan pada penerimaan.

Data

Bidang Data adalah nol atau lebih oktet. Format Data lapangan ditentukan oleh kolom Kode.

Challenge dan Response

Deskripsi

Paket Challenge digunakan untuk memulai Challenge-Handshake Protokol Otentikasi.


authenticator HARUS mengirimkan CHAP paket dengan kolom Kode set ke 1 (Challenge).
Tambahan paket Tantangan HARUS dikirim sampai paket Respon valid diterima, atau coba
lagi opsional counter berakhir.

Peer HARUS mengharapkan paket Challenge selama Otentikasi fasa dan Jaringan-Layer fase
Protokol. Setiap kali sebuah Tantangan paket diterima, peer HARUS mengirimkan paket CHAP
dengan
kolom Kode diatur ke 2 (Response).

Setiap kali paket Respon diterima, authenticator membandingkan. Tanggapan Nilai dengan
perhitungan sendiri nilai yang diharapkan. Berdasarkan perbandingan ini, authenticator HARUS
mengirim Sukses atau
Kegagalan paket (dijelaskan di bawah).

Catatan: Karena Sukses mungkin hilang,


HARUS authenticator memungkinkan diulang paket Respon selama Network-Layer Protocol
fase setelah menyelesaikan Otentikasi fase. Untuk mencegah penemuan alternatif Nama dan
Rahasia, setiap paket Respon yang diterima memiliki Tantangan saat Identifier HARUS
mengembalikan jawaban yang sama Kode sebelumnya kembali untuk yang Challenge tertentu
(pesan Bagian MUNGKIN akan berbeda). Setiap paket Respon diterima selama semua tahap
lainnya HARUS dibuang diam-diam.

Ketika Kegagalan hilang, dan authenticator yang mengakhiri link, LCP Terminate-Permintaan
dan Hentikan-Ack memberikan indikasi alternatif yang otentikasi gagal.
Ringkasan Challenge dan format Respon paket ditampilkan di bawah.

Kode

1) untuk Challenge;
2) untuk Respon.

Identifier

Bidang Identifier adalah satu oktet. Bidang Identifier HARUS berubah setiap kali Challenge
dikirim.
Respon Identifier HARUS disalin dari lapangan Identifier dari Challenge yang menyebabkan
Respon.

Value-Size

Bidang ini adalah salah satu oktet dan menunjukkan panjang Nilai lapangan.

Value

Bidang Nilai adalah satu atau lebih oktet. Oktet paling signifikan ditransmisikan pertama.

Nilai Challenge aliran variabel oktet. Pentingnya keunikan Nilai Challenge dan perusahaan
hubungan dengan rahasia dijelaskan di atas. Tantangan Nilai HARUS berubah setiap kali
Challenge dikirim. Panjang dari Nilai Challenge tergantung pada metode yang digunakan untuk
menghasilkan pada oktet, dan independen dari algoritma hash yang digunakan.

Nilai Respon adalah hash satu arah dihitung atas aliran oktet terdiri dari Identifier, diikuti oleh
(bersambung dengan) "rahasia", diikuti oleh (concatenated dengan) Challenge Nilai. Panjang
Nilai Respon tergantung hash Algoritma yang digunakan (16 octet untuk MD5).
Success and Failure

Deskripsi

Jika nilai yang diterima dalam Respon adalah sama dengan yang diharapkan nilai, maka
pelaksanaan HARUS mengirimkan paket CHAP dengan kolom Kode set ke 3 (Sukses).

Jika nilai yang diterima dalam Respon tidak sama dengan yang diharapkan nilai, maka
pelaksanaan HARUS mengirimkan paket CHAP dengan kolom Kode diatur ke 4 (Kegagalan),
dan HARUS mengambil tindakan untuk mengakhiri link.

Ringkasan Sukses dan format Kegagalan paket ditampilkan di bawah.

Kode

3 untuk Sukses;
4 untuk Kegagalan.

Identifier

Bidang Identifier adalah satu oktet dan membantu dalam pencocokan permintaan dan balasan.
Bidang Identifier HARUS disalin dari Identifier bidang Respon yang menyebabkan balasan.

Referensi :
http://deris.unsri.ac.id/materi/security/bab3Protocol%20Secured.pdf [12 Februari 2011]

…. , 2005 Understanding and Configuring PPP CHAP Authentication [online]


http://www.cisco.com/en/US/tech/tk713/tk507/technologies_tech_note09186a00800b4131.sh
tml [ 12 Februari 2011]

Simpson,W. 1996. PPP Challenge Handshake Authentication Protocol (CHAP)


[online] http://www.ietf.org/rfc/rfc1994.txt [12 Februari 2011]

http://www.javvin.com/protocolCHAP.html [12 Februari 2011]