Este documento describe máquinas virtuales y protocolos de autenticación. Explica que las máquinas virtuales permiten ejecutar múltiples sistemas operativos en un solo hardware mediante software. También describe varios protocolos de autenticación como EAP, MS-CHAP, PAP, CHAP, SPAP y RADIUS, los cuales permiten verificar la identidad de usuarios de forma remota de manera segura.

1. MÁQUINAS VIRTUALES –
PROTOCOLOS DE AUTENTICACIÓN
ESCUELA DE INGENIERÍA ELECTRÓNICA

2. MÁQUINAS VIRTUALES
Es un software que emula a un ordenador
y puede ejecutar programas como si
fuese un ordenador real. Este software en
un principio fue definido como "un
duplicado eficiente y aislado de una
máquina física".

3. CARACTERÍSTICA PRINCIPAL
La característica esencial de las máquinas
virtuales es que los procesos que
ejecutan están limitados por los recursos
y abstracciones proporcionados por ellas.

4. USO DOMÉSTICO
El uso doméstico más extendidos de las
máquinas virtuales es ejecutar sistemas
operativos para "probarlos". De esta forma
podemos ejecutar un sistema operativo
que queramos probar (Linux, por ejemplo)
desde nuestro sistema operativo habitual
(Windows por ejemplo).

5. TIPOS DE MÁQUINAS VIRTUALES
Las máquinas virtuales se pueden clasificar
en dos grandes categorías según su
funcionalidad y su grado de equivalencia a
una verdadera máquina.
- Máquinas virtuales de sistema.
- Máquinas virtuales de proceso.

6. 1. MÁQUINAS VIRTUALES DE
SISTEMA
Permiten a la máquina física subyacente
multiplexarse entre varias máquinas
virtuales, cada una ejecutando su propio
sistema operativo. A la capa de software
que permite la virtualización se la llama
monitor de máquina virtual o "hypervisor".
Un monitor de máquina virtual puede
ejecutarse o bien directamente sobre el
hardware o bien sobre un sistema
operativo.

7. APLICACIONES
Varios sistemas operativos distintos
pueden coexistir sobre el mismo
ordenador, en sólido aislamiento el uno del
otro, por ejemplo para probar un sistema
operativo nuevo sin necesidad de instalarlo
directamente.
La máquina virtual puede proporcionar
una ISA que sea algo distinta de la de la
verdadera máquina. Es decir, podemos
simular hardware.

8. 2. MÁQUINAS VIRTUALES DE
PROCESO
Una máquina virtual de proceso, a veces
llamada "máquina virtual de aplicación", se
ejecuta como un proceso normal dentro de
un sistema operativo y soporta un solo
proceso. La máquina se inicia
automáticamente cuando se lanza el
proceso que se desea ejecutar y se para
cuando éste finaliza.

9. INCONVENIENTES DE LAS
MÁQUINAS VIRTUALES
Agregan gran complejidad al sistema en
tiempo de ejecución. Esto tiene como
efecto la ralentización del sistema, es
decir, el programa no alcanzará la misma
velocidad de ejecución que si se instalase
directamente en el sistema operativo
"anfitrión" (host) o directamente sobre la
plataforma de hardware. Sin embargo, a
menudo la flexibilidad que ofrecen
compensa esta pérdida de eficiencia.

10. TÉCNICAS
Se divide en tres:
1. Emulación del hardware subyacente.
2. Emulación de un sistema no nativo.
3. Virtualización a nivel de sistema
operativo

11. EMULACIÓN DEL SOFTWARE
SUBYACENTE
Esta técnica se suele llamar full
virtualization del hardware, y se puede
implementar usando un hypervisor de Tipo
1 o de Tipo 2:
el tipo 1 : sobre el hardware
el tipo 2: sobre otro sistema operativo
como por ejemplo Linux.

12. EMULACIÓN DEL SOFTWARE
SUBYACENTE
TIPO 1 TIPO 2

13. EMULACIÓN DE UN SISTEMA NO
NATIVO
Las máquinas virtuales también pueden
actuar como emuladores de hardware,
permitiendo que aplicaciones y sistemas
operativos concebidos para otras
arquitecturas de procesador se puedan
ejecutar sobre un hardware que en teoría
no soportan.

14. VIRTUALIZACION A NIVEL DE
SISTEMA OPERATIVO
Las máquinas virtuales también pueden
actuar como emuladores de hardware,
permitiendo que aplicaciones y sistemas
operativos concebidos para otras
arquitecturas de procesador se puedan
ejecutar sobre un hardware que en teoría
no soportan.

15. VENTAJAS
Con las máquinas virtuales, podemos tener
varios sistemas operativos sin necesidad
de crear particiones o tener más discos
duros, esto nos permitirá poder tener
sistemas operativos para pruebas.

16. DESVENTAJAS
Agregan gran complejidad al sistema en
tiempo de ejecución. La principal
desventaja de las máquina virtual, es que
en la aplicación de algunos proceso tendrá
como efecto la lentitud del computador, es
decir, la computadora en la cual se esta
ejecutando este proceso debe tener una
capacidad bastante notable “debe ser de
gran capacidad o potente”.

17. PROTOCOLO DE AUNTENTICACION
Un protocolo de autenticación, es un tipo criptográfico
que tiene el propósito de autentificar entidades que
desean comunicarse de forma segura.
La autenticación de clientes de acceso remoto es una
cuestión de gran importancia para la seguridad.
Los métodos de autenticación normalmente utilizan un
protocolo de autenticación que se negocia durante el
proceso de establecimiento de la conexión.

18. PRINCIPALES PROTOCOLOS DE AUTENTICACION
EAP
MS-CHAP
PAP
CHAP
SPAP
RADIUS

19. EAP
Al utilizar el Protocolo de autenticación extensible
(EAP, Extensible Authentication Protocol), un
mecanismo de autenticación arbitrario valida las
conexiones de acceso remoto. El cliente de acceso
remoto y el autenticador negocian el esquema de
autenticación exacto que se va a utilizar
Puede utilizar EAP a fin de aceptar esquemas de
autenticación como Generic Token Card, MD5-
Challenge, Seguridad en el nivel de transporte (TLS,
Transport Level Security) para admitir tarjetas
inteligentes y S/Key, así como cualquier tecnología
de autenticación futura

20. EAP permite que se establezcan conversaciones abiertas entre el
cliente de acceso remoto y el autenticador. Esta conversación se
compone de las solicitudes de información de autenticación realizadas
por el autenticador y las respuestas del cliente de acceso remoto
Los esquemas de autenticación específicos de EAP se denominan
tipos de EAP. El cliente de acceso remoto y el autenticador deben
admitir el mismo tipo de EAP para que la autenticación se lleve a cabo
correctamente
Existen varios métodos de autenticación que funcionan sobre EAP,
entre los más comunes CHAP (MD5), PAP, TLS, PEAP, SIM. Algunos
de estos tipos de EAP, se utilizan en la telefonía móvil porque
implementan soporte para nuevas tecnologías de movilidad como el
roaming o el protocolo MobileIP

21. Se pueden agrupar tres tipos principales de métodos de autenticación sobre EAP:
Métodos basados en claves compartidas
Los métodos basados en claves compartidas han existido siempre y parece seguirán
existiendo otros muchos años. El problema de estos consiste en la forma de distribución,
transporte o almacenamiento de las credenciales. Dando por hecho que cada usuario debe
tener bien guardada su clave en sitio seguro. Algunos métodos basados en claves
compartidas son PAP, CHAP, EAP-MD5, EAP-FAST
Métodos basados en certificados u otros sistemas de claves no compartidas
Estos son los métodos más adecuados para una buena implantación de seguridad, pero
también son los más duros de implantar. Los sistemas basados en la generación de una
clave inmediata como los token son más fiables que los anteriores, pero los certificados
PKI o las tarjetas criptográficas ofrecen soluciones más complejas de implementar pero
mucho más cómodos y adecuados, una vez funcionales. Algunos de estos métodos son
EAP-TLS, EAPTTLS, etc.
Métodos basados en características físicas
En la actualidad están apareciendo nuevas implementaciones de seguridad basadas en
EAP que utilizan características biométricas como medio de identidad

22. MS-CHAP
Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP,
Microsoft Challenge Handshake Authentication Protocol), también conocido
como MS-CHAP versión 1. MS-CHAP es un protocolo de autenticación de
contraseñas de cifrado no reversible. El proceso de desafío mutuo funciona de
la siguiente manera:
El autenticador (el servidor de acceso remoto o el servidor IAS) envía al
cliente de acceso remoto un desafío formado por un identificador de sesión y
una cadena de desafío arbitraria. El cliente de acceso remoto envía una
respuesta que contiene el nombre de usuario y un cifrado no reversible de la
cadena de desafío, el identificador de sesión y la contraseña. El autenticador
comprueba la respuesta y, si es válida, se autentican las credenciales del
usuario
Sin embargo, MS-CHAP tiene hoy en día muchas vulnerabilidades y
problemas de seguridad, ya que la entropía de su sistema de encriptación
DES es insuficiente (56 bits) y el sistema de cambio de contraseña puede
comprometer más aún su seguridad.

23. PAP
El Protocolo de Autenticación de contraseña (PAP) es un
procedimiento de autenticación sencillo que consta de dos
etapas:
- El emisor que desea acceder al sistema envía una
identificación de autenticación (normalmente el nombre
de usuario) y una palabra clave.
- Un sistema comprueba la validez de la identificación y la
palabra clave y acepta o deniega la conexión.
Para aquellos sistemas que necesitan más seguridad, PAP
no es suficiente: una tercera parte con acceso al enlace
puede fácilmente copiar la palabra clave y acceder a los
recursos del sistema

24. CHAP
El Protocolo de Autenticación por Desafío (CHAP) es un protocolo
de autenticación por desafío de tres fases que ofrece más
seguridad que el protocolo PAP. En este método la palabra clave
siempre se almacena de forma secreta y nunca se envía por la
línea.
- El sistema envía al usuario un paquete de desafío que contiene
un valor de desafío, normalmente unos cuantos bytes.
- El usuario aplica una función predefinida que torna el valor del
desafío y su propia palabra clave y crea un resultado. El usuario
envía el resultado en el paquete de respuesta al sistema.
-El sistema realiza el mismo proceso. Aplica la misma función a la
palabra clave del usuario (conocida por el sistema) y el valor del
desafío para crear un resultado.

25. SPAP
El Protocolo de autenticación de contraseñas de Shiva
(SPAP, Shiva Password Authentication Protocol) es un
mecanismo de cifrado reversible empleado por Shiva.
Al conectarse a un equipo Shiva LAN Rover, los
equipos que ejecutan Windows 2003 Professional
utilizan SPAP, el mismo protocolo que emplea el cliente
Shiva que conecta con el servidor de acceso remoto de
Windows Esta forma de autenticación es más segura
que el texto simple pero menos segura que CHAP o
MS-CHAP

26. RADIUS
El protocolo de RADIUS fue desarrollado originalmente para su uso
con el acceso telefónico a redes. Aunque todavía es principalmente
utilizada para autenticar las cuentas de dial-up, se ha convertido en
una herramienta popular para la autenticación de otros dispositivos de
red
La autenticación RADIUS se maneja mediante el intercambio de
claves secretas enviadas a través de paquetes de texto plano, sin
embargo, las contraseñas son encriptadas utilizando MD5. Dado que
se envían los paquetes de RADIUS mediante UDP, existen varios
mecanismos de seguridad a fin de ayudar a garantizar que los datos
llegan a su destino. Un cliente RADIUS puede ser configurado para
reenviar las transmisiones a intervalos predefinidos, hasta que se
recibe una respuesta, o puede ser ajustado a prueba de fallos a un
segundo o tercer servidor RADIUS en el caso de un fracaso.