Autenticação PPP utilizando CHAP em Roteadores Cisco
Publicado por Mauricio
A utilização do Protocolo PPP permite dois métodos de autenticação utilizando os protocolos PAP e/ou CHAP .
O processo de autenticação do PPP ocorre após o estabelecimento da negociação física, na negociação LCP da camada de enlace. Após a validação (ou não) das credenciais, o processo é finalizado ou direcionado para a Negociação NCP; responsável pela comunicação dos endereços da Camada 3.

Challenge-Handshake Authentication Protocol
A autenticação no Protocolo PPP utilizando o CHAP permite a criptografia das credenciais no cruzamento do enlace.
Na fase de autenticação o Roteador/Servidor Autenticador envia mensagem de desafio (challenge) ao outro dispositivo. A reposta a esse desafio é com um valor calculado utilizando uma função hash de uma via (algoritmo MD5). O autenticador verifica se o valor de hash recebido é o esperado pelo desafio e valida a autenticação.
No protocolo CHAP a senha nunca será enviada em cima da primeira mensagem, mas utilizada para criar uma string hash de desafio em um só sentido (o servidor sabe a senha do cliente e compara o resultado das respostas).
O processo de autenticação do CHAP é detalhado na RFC 1994.
No cenário abaixo o Roteador R2 solicitará ao R1 a autenticação utilizando o protocolo CHAP.

No processo CHAP é verificada a validação dos nomes dos dispositivos no desafio (informando qual o dispositivo que está transmitindo o frame), após isso é encaminhado a senha para validação.
Apesar de um pouco diferente dos métodos de validação atuais, os logs do debug abaixo para autenticação PPP com CHAP é bem explicita quando refere-se a solicitação de autenticação por parte de R2 para R1. Nesse caso cadastramos o usuário como R3 e a senha como CISCO no Dispositivo R1 , para testes e visualização do “erro” no debug…
R1#debug ppp authentication
PPP authentication debugging is on
00:19:25.571: Se0/0 PPP: Authorization required
00:19:25.627: Se0/0 PPP: No