PPPその２

PAP まず、PAPについて見ていきましょう。 PAPは、認証を行うルータ同士(ピア)でお互いのユーザ名とそのユーザ名に対するパスワードの登録を行っておきます。 認証は、自分のユーザ名とパスワードをピアに送って、ピアで登録されているユーザ名とパスワードが一致しているかどうかを確認します。一致していれば認証OK、異なっていれば認証NGというきわめてシンプルな認証方法です。認証は片方向だけでなく、両方向で行われることになります。 ただし、セキュリティ面で注意しなければいけないことがあります。認証のために、送るユーザ名とパスワードは暗号化されません。そのまんまのクリアテキスト送るため、もし悪意のある第三者がPAPのパケットを盗聴すると、ユーザ名、パスワードを知られてしまうことになります。セキュリティを厳密に考えるのであれば、PAPはあまりオススメできないですね。

CHAP クリアテキストでユーザ名とパスワードが流れてしまうPAPの欠点を解決するためには、CHAPを使います。CHAPでは、クリアテキストでユーザ名とパスワードを流すことはしません。 CHAPについての概要は、以前PREMIUMで解説したことがあったので、そこから引用します。 CHAPによる認証は次のステップで行われていきます。 1.ユーザのダイアルイン 2.ランダムに生成したチャレンジコードを返信 3.チャレンジコードを元にMD5によるハッシュ計算 4.ハッシュ計算した値をレスポンスコードとしてユーザIDと共に送信 5.自身が生成したチャレンジコードを使って、ユーザ側と同様のハッシュ計算 6.2つを比較 7.一致していれば認証OK MD5のMDはMessage Digestの略です。ダイジェストは要約という意味で、元の情報よりも小さくなります。小さくなった情報から元の情報に戻すことは理論的に不可能です。ですから、もしもレスポンスコートをキャプチャされても解析できないのでCHAPの認証は高いセキュリティを確保することができます。 CHAPについての詳細を知りたい場合には、次の書籍がいいでしょう。 「リモートアクセスネットワーク構築ガイド」 この例では、ルータでユーザ名とパスワードを管理していますが、このユーザ名とパスワードの管理を認証サーバで一元化することもできます。大規模なネットワークでは、一元化されて認証サーバで認証を行っていることが多いです。

メールマガジンの購読はこちら↓

『ネットワークのおべんきょしませんか？』 を購読しませんか？
	E-mail

(C) Copyright 2000-2002 Gene All Right Reserved