Cem Kemal Erbaş Cem Kemal Erbaş
Yaygın olarak kullanılan seri iletişim standartlarından biri PPP (Noktadan Noktaya Protokolü – Noktadan Noktaya Protokolü), PPP, PAP (Parola Doğrulama Protokolü) ve CHAP (Karşılıklı El Sıkışma Kimlik Doğrulama Protokolü – Üçlü El Sıkışma Kimlik Doğrulama Protokolü) ‘dür. Doğrulama Kuralı). Bu protokollerle kimlik doğrulaması zorunlu değildir, ancak kimlik doğrulaması tercih edilir. Kimlik doğrulama olmadan bir bağlantı da kurulabilir.
PAP, iki yönlü el sıkışma (iki yönlü el sıkışma) gerçekleştirerek kimlik doğrulaması gerçekleştirir. Bu yöntemde, kullanıcı adı ve parola şifrelemeden karşı tarafa iletilir. Bağlantı PAP’ta kurulduktan sonra başka bir doğrulama yapılmaz. Ayrıca, PAP’ta şifreler aynı olmak zorunda değildir. PAP şu anda kimlik doğrulaması yapıyor:
R1, PAP kullanıcı adını ve şifresini R3’e gönderir.
R3, yerel veritabanını R1’deki kullanıcı adı ve şifre için arar. R1 tarafından gönderilen kullanıcı adı ve parola zaten R1’de tanımlanmıştır.
R3 bir eşleşme bulursa, kabul et aksi takdirde reddetme mesajı gönderir.
Her ne kadar PAP kimlik doğrulama gerçekleştirse de, çok güçlü bir kontrol yapmaz. PAP protokolünde, bilgileri almak, paketi geri göndermek ve oturuma katılmak için “oynatma atak (tekrarlayan) saldırısı kullanılabilir. Buna ek olarak, bir kez doğrulandıktan sonra, daha fazla doğrulama olmadığı için oturumun ele geçirilmesi mümkündür. Bu problemleri ele almak için CHAP protokolü geliştirilmiştir.
CHAP, PAP’ın aksine 3 Yollu El Sıkışma gerçekleştirir. Kimlik doğrulama açıkça yapılmaz, md5 matematiksel fonksiyona tabi tutulur ve “hash fonksiyon (geri döndürülemez fonksiyon) haline getirilir. Ek olarak, kimlik doğrulama periyodik olarak CHAP’ta yapılır. Tüm bu özellikler CHAP’ı PAP’tan daha güvenli bir protokol haline getirir. Aşağıdaki şekilde gösterildiği gibi, CHAP doğrulama sırasında aşağıdaki işlemler gerçekleşir:
R3, üçlü bir el sıkışma başlatır ve R1’e “meydan okuma” olarak adlandırılan rastgele bir değeri gönderir.
R1, kullanıcı adı, parola ve gelen zorluğu md5 matematik işlevine tabi tutar ve R3’e gönderir.
Md5’in yerel aramalarında bulunan kullanıcı adı ve şifreyle okuma mücadelesine maruz kaldığı durumlarda R3 elde edilir.
CHAP’da, okuma mücadelesi ”değerine bağlandığınızda, başka bir şifre rastgele seçilecektir, bu yüzden“ hash ifade ifadesi aynı değil. Bu, “oynatma” saldırılarını önler. Ek olarak, iki cihaz için verilen kodlar aynıdır, böylece her iki taraf da aynı sonucu alabilir.
PPP Kimlik Doğrulama Yapılandırması
Komut komutları, PPP kimlik doğrulaması yapılırken hangi protokol protokolünün kullanılacağını belirlemek için kullanılır. Bu komutlar, genel seri modundan ilgili seri arayüze girildikten sonra yazılır.
Router(config-if)#ppp authentication pap // ilgili interface’te pap’ı etkinleştirir.
Router(config-if)#ppp authentication chap // ilgili interface’te chap’ı etkinleştirir.
Router(config-if)#ppp authentication pap chap // hem chap hem pap etkinleştirilir, pap daha önce işleme alınır.
Router(config-if)#ppp authentication chap pap // hem chap hem pap etkinleştirilir, chap daha önce işleme alınır.
PAP Yapılandırması
R1’de Girilmesi Gereken Komutlar
R1(config)#username R3 password sifre1
R1(config-if)#ppp authentication pap
R1(config-if)#ppp pap sent-username R1 password sifre2
R3’te Girilmesi Gereken Komutlar
R3(config)#username R1 password sifre2
R3(config-if)#ppp authentication pap
R3(config-if)#ppp pap sent-username R3 password sifre1
PAP yapılandırmasında istenirse şifreler farklı da yapılabilir. Yukarıda da görülebilceği gibi “username” komutu ile kendisine bağlanacak diğer yönlendiricinin kullanıcı adı ve şifre bilgisi, “ppp pap sent-username” komutu ile ise kendi kullanıcı adı ve şifre bilgisi tanımlanır.
CHAP Yapılandırması
R1’de Girilmesi Gereken Komutlar
R1(config)#username R3 password ayni
R1(config-if)#ppp authentication chap
R3’te Girilmesi Gereken Komutlar
R3(config)#username R1 password ayni
R3(config-if)#ppp authentication chap
CHAP yapılandırmasında varsayılanda yönlendirici kendi “hostname”ini kendi kullanıcı adı olarak, “enable password” komutuyla girilen şifreyi kendi şifresi olarak karşı tarafa yollar. CHAP protokolünde şifrelerin aynı olması gerekmektedir.
PAP ve CHAP arasındaki temel farklar aşağıdaki tabloda gösterilmiştir:
PAP CHAP
2 yönlü el sıkışma yapılır. 3 yönlü el sıkışma yapılır.
Kullanıcı adı ve şifre karşı tarafa açık olarak gönderilir. Kullanıcı adı ve şifre md5 şifrelemesi ile karşı tarafa gönderildiğinden daha güvenlidir.
Kimlik denetimi bağlantı kurulduktan sonra bir daha yapılmaz. Kimlik denetimi belli aralıklarla tekrar gerçekleşir.
İki tarafta kullanılan şifreler aynı olmak zorunda değildir. Şifrelerin aynı olma zorunluluğu vardır.
