Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator
Viele ISDN-Karten unterstützen die Kommunikation über das Point-to-Point Protocol (RFC 1661), nachdem eine ISDN-Wählverbindung aufgebaut wurde. Innerhalb dieses Internet-Standards werden auch Authentisierungsprotokolle, wie das Password Authentication Protocol (PAP) und das Challenge Handshake Authentication Protocol (CHAP) angeboten (RFC 1994). Bietet die verwendete ISDN-Karte diese Funktionalitäten, sollte zur Authentisierung anstelle des Password Authentication Protocols das Challenge-Handshake Authentication Protocol genutzt werden, da bei PAP das zur Authentisierung verwendete Paßwort unverschlüsselt übertragen wird.
Die bei PAP bzw. CHAP verwendeten Paßwörter werden i. allg. nicht bei jeder Authentisierung vom Benutzer erneut eingegeben, sondern in den IT-Systemen gespeichert. Damit sich diese Verfahren auch nach einer erneuten Installation wieder aufsetzen lassen, sollten die benötigten Paßwörter notiert und sicher verwahrt werden (siehe M 2.22 Hinterlegen des Paßwortes).
Funktionsweise:
Bei CHAP werden grundsätzlich zwei Kommunikationspartner unterschieden: Authenticator und Peer. Dabei handelt es sich beim Authenticator um den Kommunikationspartner, der die Authentisierung abfordert, und beim Peer um den Kommunikationspartner, der die Authentisierung erbringen soll. Im allgemeinen wird also der Authenticator der Server sein, an dem sich der Benutzer von seinem IT-System aus als Peer anmelden will.
Bei CHAP wird auf beiden Seiten die Kenntnis eines gemeinsamen Geheimnisses (Paßwort) überprüft. Dabei wird das Geheimnis nicht im Klartext über die Leitung gesandt und durch die Einbindung von Zufallszahlen vor Wiedereinspielen geschützt.
Das eingesetzte Challenge-Response-Protokoll läuft wie folgt ab:
In einem ersten Schritt errechnet der Authenticator eine Zufallszahl. Mittels eines Hash-Algorithmus wird der Hash-Wert der eben berechneten Zufallszahl gebildet. Eine Hash-Funktion ist eine Rechenvorschrift, durch die eine Eingabe beliebiger Länge in einen Ausgabewert fester (i. a. kürzerer) Länge umgewandelt wird. Eine Einweg-Hashfunktion funktioniert nur in eine Richtung, d. h. aus der Eingabe läßt sich problemlos der Hashwert berechnen, aber es sollte sehr schwer bis unmöglich sein, zu einem Hashwert passende Eingabedaten zu berechnen.
Im nächsten Schritt überträgt der Authenticator das sogenannte Challenge, also die eben errechnete Zufallszahl, an den Peer. Da Authenticator und Peer über den gleichen Hash-Algorithmus verfügen, kann in einem vierten Schritt ebenfalls der Peer den Hash-Wert der eben übermittelten Zufallszahl bilden. Der Peer berechnet den Hashwert über die drei Werte Identifier (Benutzerkennung), Secret (Paßwort) und der gesendeten Zufallszahl. Den Hashwert überträgt er dann als Antwort an den Authenticator. Der Authenticator überprüft die Korrektheit des Paßworts, indem er ebenfalls den entsprechenden Hashwert berechnet und mit dem übermittelten Hash-Wert vergleicht. Fällt der Vergleich positiv aus, hat sich der Peer gegenüber dem Authenticator authentisiert und die Kommunikationsverbindung kann aufgebaut werden.
Die Authentisierung nach dem eben beschriebenen Verfahren sollte auch während einer bestehenden Kommunikationsverbindung mehrfach wiederholt werden, um auch Attacken auf bereits bestehende Verbindungen zu verhindern. Dies wird, ohne das der Benutzer eingreifen muß, in zufälligen Zeitabständen durch den Authenticator angestoßen.
Ergänzende Kontrollfragen:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000