[puppet]

Zitat (Benjamin: 05.09.2005, 22:12)

Servutzi,

mal ne frage, und bitte keine links zu wikipedia, die hab ich schon durch

so meine frage bezieht sich auf die beiden protokolle CHAP und PAP ...
was mich interessiert ist die einsetzbarkeit in großen netzen ...
bei CHAP wurde mir gesagt das es nicht möglich sei, ohne einen exterenen anmeldeserver (zb. für die benutzeranmeldung), da der traffic aufgrund der ständigen nachfrage des hash wertes zu belastend sei.
PAP ist ja eher unsicher, das es nicht verschlüsselt wird, sondern im klartext mitgelesen wird ...
weiterhin wurde mir gesagt das CHAP keine eigenen Verschlüsselungsmodus bietet, dennoch seine pakete verschlüsselt ... O_o ein komischer wiederspruch der 2003 in einer musterlösung für die fachinformatikerprüfung zu finden ist ...
kann mich da mal einer genauer aufklären ?

Also das PAP unsicher ist weil die Userdaten unverschlüsselt übertragen werden ist soweit klar.
Und genau wie PAP ist CHAP nur ein Authentifizierungsprotokoll, allerdings überträgt es nicht einfach so die Userdaten im Klartext, sondern wie du ja sicher selbst bei Wikipedia gelesen hast geht die Authentifizierung über einen sicheren three-way-handshake (wo auch keine Passwörter übertragen werden).
Was die Verschlüsselung angeht, kann es sein das du da etwas mit PEAP (oder genau genommen PEAPv0/EAP-MSCHAPv2, was unter Win2003 als IAS/Internet Authentication Service bekannt sein dürfte) verwechselst? Denn bei PEAP/EAP-MS CHAP V2 wird der gesamte Authentifizierungsprozess über einen TLS Tunnel gesichert.

Dieser Beitrag wurde von puppet bearbeitet: 05. September 2005 - 21:59

[puppet]

Zitat (Benjamin: 06.09.2005, 06:30)

hmm wurde bei CHAP nicht ein 4-Way-Handshake (inkl. hashwert) ausgemacht ? und Microsoft hat sich dann mal gedacht wir machen nen 3-Way-Handshake ?

Nein der Handshake ist three-way, (1) nach Linkaufbau sendet der Authenticator einen "Challenge" zum Supplicant/Peer, (2) der Supplicant/Peer antwortet darauf mit einem durch eine Ein-Weg-Hash-Funktion (z.B. MD5) errechnetem Hash (berechnet aus dem Challenge und dem CHAP Secrets/Passwort), (3) der Authenticator prüft nun die Antwort mit seinen eigenen Berechnungen (Hash aus Challenge+Passwort), wenn diese übereinstimmen ist die Authentifizierung erfolgreich (und der Authenticator führt die Schritte 1-3 in Zufallsintervallen immer erneut aus) ansonsten wird die Verbindung getrennt. Eine gute Darstellung findest du hier etwas weiter unten bei "Transactional Example".

Zitat (Benjamin: 06.09.2005, 06:30)

das mit windows 2003 (ich denke mal das nimmst du aus dem "wiederspruch der 2003 in einer musterlösung für die fachinformatikerprüfung zu finden ist ..." kommt ) ist mir ganz neu, nein ... wie gesagt in der "IHK Musterlösung für Fachinformatiker - Systemintegration - 2003 Abschlussprüfung" steht drin,
- besitzt keine eigene Verschlüsselung
- Verschlüsselt die Pakete durch einen draufgesetzten Header

das ist gut und gerne nen wiederspruch in meinen augen, wenn es keine eigene verschlüsselung besitzt, wie ist den diese verschlüsselung möglich ?

Mh ich habe die Prüfungsunterlagen leider nicht vor mir, aber selbst in RFC1994 - PPP Challenge Handshake Authentication Protocol (CHAP) steht nichts von Verschlüsselung (du kannst es ja mal lesen, sind nur 11 Seiten). Nicht das sie sich auf PEAP/EAP-MSCHAPv2 beziehen.

Dieser Beitrag wurde von puppet bearbeitet: 06. September 2005 - 09:48

[puppet]

Zitat (Benjamin: 06.09.2005, 11:32)

hmm...

- Challange
- Response
- Verify Chap
- Result

... sind doch aber 4 Schritte oder nich ?

Wobei im RFC

- Challenge
- Response
- Success /Failure

steht

Ja das sind 4 Schritte (mit Call sogar 5, was dann die ganze Transaction wäre), aber eigentliche Handshake besteht nur aus Challenge, Response und Verify, Call hat mit dem Handshake nichts zu tun da der Handshake erst nach dem LCP kommt, und bei Verify endet der Handshake, was das Result "Welcome in/Success" oder "Authentication failure/Failure" ergibt -> Verify und Success/Failure sind ein Punkt im Handshake (-> siehe Introduction).

Dieser Beitrag wurde von puppet bearbeitet: 06. September 2005 - 10:54