Protocolo de autenticación de intercambio de señales (CHAP)

Una vez que se establece la autenticación con PAP, no se vuelve a autenticar. Esto deja la red vulnerable a los ataques. A diferencia de PAP, que autentica solo una vez, CHAP realiza desafíos periódicos para asegurar que el nodo remoto siga teniendo un valor de contraseña válido. El valor de contraseña varía y cambia de manera impredecible mientras existe el enlace. CHAP utiliza el comando ppp authentication chap.

Proceso de CHAP

Una vez completa la fase de establecimiento del enlace PPP, el router local envía un mensaje de desafío al nodo remoto, como se muestra en la figura 1.

El nodo remoto responde con un valor que se calcula mediante una función hash unidireccional. Generalmente es MD5 basado en la contraseña y el mensaje de desafío, como se muestra en la figura 2.

El router local compara la respuesta con su propio cálculo del valor de hash esperado. Si los valores coinciden, el nodo de inicio reconoce la autenticación, como se muestra en la figura 3. Si los valores no coinciden, el nodo de inicio finaliza la conexión de inmediato.

CHAP proporciona protección contra los ataques de reproducción mediante el uso de un valor de desafío variable que es exclusivo e impredecible. Como la comprobación es única y aleatoria, el valor hash resultante también es único y aleatorio. El uso de comprobaciones reiteradas limita el tiempo de exposición ante cualquier ataque. El router local o un servidor de autenticación de terceros tiene el control de la frecuencia y la temporización de los desafíos.