MAURICIO ALEXANDER CENDALES LARA

Que es VPN?

Es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet.

Tipos de VPN
Existen 2 tipos de VPN, las cuales vamos a recalcar en esta exposicin, estos tipos son: VPN de sitio a sitio

VPN de acceso remoto.

VPN de Site to Site

En una VPN de sitio a sitio, los hosts envan y reciben trfico TCP/IP a travs de un gateway VPN, el cual podra ser un router, una aplicacin firewall PIX (Private Internet Exchange) o una aplicacin de seguridad adaptable (ASA Adaptive Security Appliances). El gateway VPN es responsable de la encapsulacin y cifrado del trfico saliente para todo el trfico desde un sitio particular y de su envo a travs de un tnel VPN por Internet a un gateway VPN par en el sitio objetivo. Al recibirlo, el gateway VPN par elimina los encabezados, descifra el contenido y retransmite el paquete hacia el host objetivo dentro de su red privada.

VPN de sitio a sitio

Una VPN de sitio a sitio es una extensin de una networking WAN clsica. Las VPN de sitio a sitio conectan redes enteras entre ellas. Por ejemplo, pueden conectar la red de una sucursal a la red de la sede central corporativa.

VPN de Acceso remoto

Los usuarios mviles y trabajadores a distancia usan mucho las VPN de acceso remoto. En el pasado, las empresas admitan usuarios remotos con redes dial-up. En general, esto implicaba una llamada de larga distancia y los costos correspondientes para lograr el acceso a la empresa. En una VPN de acceso remoto, cada host en general tiene software cliente de VPN. Cuando el host intenta enviar trfico, el software cliente de VPN encapsula y encripta ese trfico antes del envo a travs de Internet hacia el gateway VPN en el borde de la red objetivo. Al recibirlo, el gateway VPN maneja los datos de la misma manera en que lo hara con los datos de una VPN de sitio a sitio.

VPN de Acceso remoto

Componentes VPN
Los componentes necesarios para establecer esta VPN incluyen lo siguiente: Una red existente con servidores y estaciones de trabajo Una conexin a Internet Gateways VPN, como routers, firewalls, concentradores VPN y ASA, que actan como extremos para establecer, administrar y controlar las conexiones VPN Software adecuado para crear y administrar tneles VPN

 La clave de la eficacia de la VPN es la seguridad. Las VPN protegen los datos mediante encapsulacin y encriptacin. La mayora de las VPN puede hacer las dos cosas. La encapsulacin tambin se denomina tunneling, porque transmite datos de manera transparente de red a red a travs de una infraestructura de red compartida utilizando algoritmos asimtricos. La encriptacin codifica los datos en un formato diferente mediante una clave secreta. La decodificacin vuelve los datos encriptados al formato original sin encriptar. Se utilizan algoritmos simtricos para cifrar estos datos, y normalmente cuando se utiliza fibra oscura no se encriptan los datos puesto que es un canal dedicado que no sale a internet.

Componentes VPN

Esquema de una VPN

Caractersticas VPN Seguras

Las bases de una VPN segura son : Confidencialidad de datos. Integridad de datos. Autenticacin.

Caractersticas VPN Seguras

Confidencialidad de datos: Una cuestin de seguridad que suele despertar preocupacin es la proteccin de datos contra personas que puedan ver o escuchar subrepticiamente informacin confidencial. La confidencialidad de datos, que es una funcin de diseo, tiene el objetivo de proteger los contenidos de los mensajes contra la intercepcin de fuentes no autenticadas o no autorizadas. Las VPN logran esta confidencialidad mediante mecanismos de encapsulacin y encriptacin.

Caractersticas VPN Seguras

Integridad de datos: Los receptores no tienen control sobre la ruta por la que han viajado los datos y, por lo tanto, no saben si alguien ha visto o ha manejado los datos mientras viajaban por Internet. Siempre existe la posibilidad de que los datos hayan sido modificados. La integridad de datos garantiza que no se realicen cambios indebidos ni alteraciones en los datos mientras viajan desde el origen al destino. Generalmente, las VPN utilizan hashes para garantizar la integridad de los datos. El hash es como un checksum o un sello (pero ms robusto) que garantiza que nadie haya ledo el contenido y que este tampoco haya sido alterado.

Caractersticas VPN Seguras

Autenticacin: La autenticacin garantiza que el mensaje provenga de un origen autntico (en algunos casos que se aplique el no repudio) y se dirija a un destino autntico definido, en otras palabras la autenticidad garantiza que la informacin recibida es de quien dice ser. La identificacin de usuarios brinda al usuario la seguridad de que la persona con quien se comunica es quien cree que es. Las VPN pueden utilizar contraseas, certificados digitales, tarjetas inteligentes y biomtricas para establecer la identidad de las partes ubicadas en el otro extremo de la red.

Caractersticas VPN Seguras

Seguridad tunneling Es un modo de transferir datos en la que se encapsula un tipo

de paquetes de datos dentro del paquete de datos de algn protocolo, no necesariamente diferente al del paquete original. Al llegar al destino, el paquete original es desempaquetado volviendo as a su estado original. En el traslado a travs de Internet, los paquetes viajan encriptados.

El tunneling encapsula un paquete entero dentro de otro paquete y enva por una red el nuevo paquete compuesto. En conclusin Tunneling consiste en encapsular un protocolo de red sobre otro protocolo.

Uno de los ejemplos ms claros de utilizacin de esta tcnica consiste en la redireccin de trfico en escenarios IP Mvil

Seguridad tunneling

. Esta figura contiene una lista de las tres clases de protocolos que utiliza el tunneling.

 Frame Relay: Tcnica de comunicacin mediante retransmisin de tramas para redes de circuito virtual, Consiste en una forma simplificada de tecnologa de conmutacin de paquetes que transmite una variedad de tamaos de tramas o marcos (frames) de datos, es perfecto para la transmisin de grandes cantidades de datos. La tcnica Frame Relay se utiliza para un servicio de transmisin de voz y datos a alta velocidad que permite la interconexin de redes de rea local separadas geogrficamente a un coste menor. En la actualidad es una tecnologa que est siendo desplazada por las VPNs ATM (Asynchronous Transfer Mode): Tecnologa de telecomunicacin desarrollada para hacer frente a la gran demanda de capacidad de transmisin para servicios y aplicaciones. MPLS (Multiprotocol Label Switching): Conmutacin Multiprotocolo mediante etiquetas, es un mecanismo de transporte de datos estndar. Fue diseado para unificar el servicio de transporte de datos para las redes basadas en circuitos y las basadas en paquetes. Puede ser utilizado para transportar diferentes tipos de trfico, incluyendo trfico de voz y de paquetes IP

Protocolos de Tuneling (Portadores)

Protocolos de Tuneling (Encapsulacin) Encapsulation): es un GRE: (Generic Routing

Permite emplear protocolos de encaminamiento especializados que obtengan el camino ptimo entre los extremos de la comunicacin. Soporta la secuencialidad de paquetes y la creacin de tneles sobre redes de alta velocidad. Permite establecer polticas de encaminamiento y seguridad.

protocolo para el establecimiento de tneles a travs de Internet, pudiendo transportar hasta 20 protocolos de red distintos,

Protocolos de Tuneling (Encapsulacin)

PPTP (Point to Point Tunneling Protocol): Es un protocolo de comunicaciones desarrollado por Microsoft, U.S. Robotics, Ascend Communications, 3Com/Primary Access, ECI Telematics, para implementar redes privadas virtuales o VPN. Permite el seguro intercambio de datos de un cliente a un servidor formando una Red Privada Virtual Soporta una infraestructura de rea de trabajo bajo la suite de protocolos TCP/IP (Internet). Esta habilidad permitir a una compaa usar Internet para establecer una red privada virtual (VPN) sin el gasto de una lnea alquilada. Soporta Autenticacin Tacacs (acrnimo de Terminal Access Controller Access Control System , en ingls sistema de control de acceso mediante control del acceso desde terminales es propietario de Cisco) o Radius (acrnimo en ingls de Remote Authentication Dial-In User Server). Es un protocolo de autenticacin y autorizacin para aplicaciones de acceso a la red No soportaba trabajar con diferentes tecnologas de red como ATM o FrameRelay.

Protocolos de Tuneling (Encapsulacin)

L2F (Layer 2 Forwarding): Se cre en las primeras etapas del desarrollo de las red privada virtual. Como PPTP, L2F fue diseado por Cisco para establecer tneles de trfico desde usuarios remotos hasta sus sedes corporativas. No es un protocolo confiable porque es menos seguro. La principal diferencia entre PPTP y L2F es que, como el establecimiento de tneles de L2F no depende del protocolo IP (Internet Protocol), es capaz de trabajar directamente con otros medios, como Frame Relay o ATM de Laboratorios Bell en los Aos 60.

Protocolos de Tuneling (Encapsulacin)

L2TP (Layer 2 Tunneling Protocol): Fue diseado por un grupo de trabajo de IETF como el heredero aparente de los protocolos PPTP y L2F. Toma lo mejor de los protocolos PPTP y L2F y se establecerse como un estndar aprobado por el IETF Internet Engineering Task Force (en espaol Grupo Especial sobre Ingeniera de Internet ) (RFC 2661). Utiliza PPP para proporcionar acceso telefnico que puede ser dirigido a travs de un tnel por Internet hasta un punto determinado. L2TP define su propio protocolo de establecimiento de tneles, basado en L2F. El transporte de L2TP est definido para una gran variedad de tipos de paquete, incluyendo X.25, Frame Relay y ATM. Utiliza PPP para el establecimiento enlaces, incluye los mecanismos de autenticacin de PPP, PAP y CHAP. De forma similar a PPTP, soporta la utilizacin de estos protocolos de autenticacin, como RADIUS. A pesar de que L2TP ofrece un acceso econmico, con soporte multiprotocolo y acceso a redes de rea local remotas, no presenta unas caractersticas criptogrficas especialmente robustas.

IPsec (Internet Protocol security): Es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec tambin incluye protocolos para el establecimiento de claves de cifrado HMAC (hash, message authentication code) - SHA-1 (Security Hash Algorithm) para proteccin de integridad, y Triple DES (Data Encription Standard) -CBC (Cipher-block chaining, modo de cifrado por bloques) y AES-CBC (Advanced Encryption Standard) para confidencialidad. Los protocolos de IPsec actan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL (secure sockets layer-protocolo de capa de conexin segura), TLS(transport layer security) y SSH operan de la capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea ms flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP. Una ventaja importante de IPsec frente a SSL y otros mtodos que operan en capas superiores, es que para que una aplicacin pueda usar IPsec no hay que hacer ningn cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su cdigo.

Protocolos de Tuneling (Encapsulacin)

Protocolos de Tuneling (Encapsulacin)

SSTP Secure Socket Tunneling Protocolol: Protocolo de tnel de sockets seguros (SSTP) es una forma de tnel VPN que proporciona un mecanismo para el transporte de PPP o L2TP a travs de un trfico en canales SSL 3.0. SSL ofrece transport-level security con key-negotiation, encriptacin y chequeo de deteccin de errores. El uso de SSL a travs de TCP puerto 443 SSTP permite pasar por casi todos los firewalls y servidores proxy. SSTP servidores deben ser autenticados en la fase de SSL. Los clientes SSTP opcionalmente se puede autenticar en la fase de SSL, y debe ser autenticada en la fase PPP. El uso de productos PPP permite el apoyo a mtodos de autenticacin comn parles como PAP y CHAP. SSTP slo est disponible en Windows desde la versin de Windows Vista SP1 , y en RouterOS . Est totalmente integrado con la arquitectura RRAS (Routing and Remote Access) en estos sistemas operativos, lo que permite su uso con Winlogon o de tarjetas inteligentes de autenticacin, polticas de acceso remoto y el cliente VPN de Windows.

Algoritmos de encriptacin de VPN

El grado de seguridad que proporciona un algoritmo de encriptacin depende de la longitud de la clave. Para cualquier longitud de clave, el tiempo que lleva el procesamiento de todas las posibilidades de descifrar texto cifrado es una funcin de la potencia de cmputo del equipo. Por lo tanto, cuanto ms corta sea la clave, ms fcil ser romperla; pero, a su vez, ms fcil pasar el mensaje.

Seguridad Encapsulacin

Algoritmos de encriptacin de VPN

Algunos de los algoritmos de encriptacin ms comunes y la longitud de claves que se utilizan son los siguientes: Algoritmo Estndar de cifrado de datos (DES). Algoritmo Triple DES (3DES). Estndar de encriptacin avanzada (AES). Rivest, Shamir y Adleman (RSA).

Encriptacin VPN

Algoritmos de encriptacin de VPN

Algoritmo Estndar de cifrado de datos (DES): DES, desarrollado por IBM, utiliza una clave de 56 bits para garantizar una encriptacin de alto rendimiento. El DES es un sistema de encriptacin de clave simtrica. Las claves simtricas y asimtricas se explican ms adelante. Algoritmo Triple DES (3DES): una variante ms reciente del DES que realiza la encriptacin con una clave, descifra con otra clave y realiza la encriptacin por ltima vez con otra clave tambin diferente. 3DES le proporciona mucha ms fuerza al proceso de encriptacin, utiliza claves de 168 bits.

Algoritmos de encriptacin de VPN

Estndar de encriptacin avanzada (AES): el Instituto Nacional de Normas y Tecnologa (NIST) adopt el AES para reemplazar la encriptacin DES en los dispositivos criptogrficos. AES proporciona ms seguridad que DES y es ms eficaz en cuanto a su clculo que 3DES. AES ofrece tres tipos de longitudes de clave: claves de 128, 192 y 256 bits. Rivest, Shamir y Adleman (RSA): sistema de encriptacin de clave asimtrica. Las claves utilizan una longitud de bits de 512, 768, 1024 o superior.

Encriptacin simtrica
Los algoritmos de encriptacin como DES y 3DES requieren que una clave secreta compartida realice la encriptacin y el descifrado. Los dos equipos deben conocer la clave para codificar y decodificar la informacin. Con la encriptacin de clave simtrica (clave secreta), cada equipo encripta la informacin antes de enviarla por la red al otro equipo. La encriptacin de clave simtrica requiere el conocimiento de los equipos que se comunicarn para poder configurar la misma clave en cada uno.

Encriptacin simtrica
Por ejemplo, un emisor crea un mensaje codificado en el cual cada letra se sustituye con la letra que se encuentra dos posiciones adelante en el alfabeto; "A" se convierte en "C" y "B" se convierte en "D" y as sucesivamente. En este caso, la palabra SECRETO se convierte en UGETGVQ. El emisor le ha informado al receptor que la clave secreta es "saltear 2". Cuando el receptor recibe el mensaje UGETGVQ, su equipo decodifica el mensaje al calcular las dos letras anteriores a las del mensaje y llega al cdigo SECRETO. Cualquier otra persona que vea el mensaje slo ver el mensaje cifrado, que parece una frase sin sentido a menos que la persona conozca la clave secreta.

Encriptacin asimtrica
La encriptacin asimtrica utiliza diferentes claves para la encriptacin y el descifrado. El conocimiento de una de las claves no es suficiente para que un pirata informtico deduzca la segunda clave y decodifique la informacin. Una clave realiza la encriptacin del mensaje y otra, el descifrado. No es posible realizar ambos con la misma clave.

Encriptacin asimtrica

 Los hashes contribuyen a la autenticacin y la integridad de los datos, ya que garantizan que personas no autorizadas no alteren los mensajes transmitidos. Un hash, tambin denominado message digest, es un nmero de longitud fija generado a partir de una cadena de texto. El hash es menor que el texto. Se genera mediante una frmula, de forma tal que es extremadamente improbable que otro texto produzca el mismo valor de hash. Actualmente se pone en duda su seguridad puesto que se ha demostrado que dos claves diferentes pueden generar el mismo hash, aunque esto es muy poco probable que ocurra. El emisor original genera un hash del mensaje y lo enva junto con el mensaje mismo. El receptor descifra el mensaje y el hash recibido. A continuacin produce otro hash a partir del mensaje recibido y compara los dos hashes el recibido con el que el mismo gener. Si ambos son iguales, puede estar seguro de que la integridad del mensaje no ha sido afectada.

Integridad Datos

Integridad Datos Hay dos algoritmos Hash comunes: Message Digest 5 (MD5): utiliza una clave

secreta compartida de 128 bits. El mensaje de longitud variable y la clave secreta compartida de 128 bits se combinan y se ejecutan mediante el algoritmo de hash (Hash-based Message Authentication Code) HMAC-MD5. El resultado es un hash de 128 bits (32 Caracteres). El hash se agrega al mensaje original y se enva al extremo remoto.

Algoritmo de hash seguro 1 (SHA-1): utiliza una clave secreta de 160 bits. El mensaje de longitud variable y la clave secreta compartida de 160 bits se combinan y se ejecutan mediante el algoritmo de hash HMAC-SHA-1. El resultado es un hash de 160 bits (40 Caracteres). El hash se agrega al mensaje original y se enva al extremo remoto.

Integridad Datos

Autenticacin VPN
Cuando se realizan negocios a larga distancia, es necesario saber quin est del otro lado del telfono, correo electrnico o fax. Lo mismo sucede con las redes VPN. Se debe autenticar el dispositivo ubicado en el otro extremo del tnel de la VPN antes de que la ruta de comunicacin se considere segura. Hay dos mtodos pares de autenticacin:

Autenticacin VPN
Clave compartida previamente (PSK): una clave secreta compartida entre dos partes que utilizan un canal seguro antes de que deba ser utilizado. Las PSK utilizan algoritmos criptogrficos de clave simtrica. Una PSK se especifica en cada par manualmente y se utiliza para autenticar al par. En cada extremo, la PSK se combina con otra informacin para formar la clave de autenticacin.

Autenticacin VPN
Firma RSA: utiliza el intercambio de certificados digitales para autenticar los pares. El dispositivo local deriva un hash y lo encripta con su clave privada. El hash encriptado (firma digital) se adjunta al mensaje y se enva al extremo remoto. En el extremo remoto, el hash encriptado se descifra mediante la clave pblica del extremo local. Si el hash descifrado coincide con el hash recalculado, la firma es verdadera.

Autenticacin VPN

Protocolos de seguridad Ipsec

El IPsec es un conjunto de protocolos para la seguridad de las comunicaciones IP que proporciona encriptacin, integridad y autenticacin. IPsec ingresa el mensaje necesario para proteger las comunicaciones VPN, pero se basa en algoritmos existentes. Encabezado de autenticacin (Authentication Header AH). Contenido de seguridad encapsulado (Encapsulated Security Payload ESP).

Protocolos de seguridad Ipsec

Encabezado de autenticacin (AH): se utiliza cuando no se requiere o no se permite la confidencialidad. AH proporciona la autenticacin y la integridad de datos para paquetes IP intercambiados entre dos sistemas. Verifica que cualquier mensaje intercambiado de un Router R1 a un Router R2 no haya sido modificado en el camino. Tambin verifica que el origen de los datos sea R1 o R3. AH no proporciona la confidencialidad de datos (encriptacin) de los paquetes. Si se utiliza solo, el protocolo AH proporciona poca proteccin. Por lo tanto, se le utiliza junto con el protocolo ESP para brindar las funciones de seguridad de la encriptacin de los datos y el alerta cuando existen alteraciones.

Protocolos de seguridad Ipsec

Contenido de seguridad encapsulado (ESP): proporciona confidencialidad y autenticacin mediante la encriptacin del paquete IP. La encriptacin del paquete IP oculta los datos y las identidades de origen y de destino. ESP autentica el paquete IP interno y el encabezado ESP. La autenticacin proporciona autenticacin del origen de datos e integridad de datos. Aunque tanto la encriptacin como la autenticacin son opcionales en ESP, debe seleccionar una como mnimo.

Protocolos de seguridad Ipsec

Estructura Ipsec
IPsec se basa en algoritmos existentes para implementar la encriptacin, la autenticacin y el intercambio de claves. Algunos de los algoritmos estndar que utiliza IPsec son: DES: Encripta y descifra los datos del paquete. 3DES: proporciona una fuerza de encriptacin importante superior al DES de 56 bits. AES: proporciona un rendimiento ms rpido y una encriptacin ms fuerte segn la longitud de la clave utilizada. MD5: autentica datos de paquetes con una clave secreta compartida de 128 bits. SHA-1: autentica datos de paquetes con una clave secreta compartida de 160 bits. DH (Diffie-Hellman); permite que dos partes establezcan una clave secreta compartida mediante la encriptacin y los algoritmos de hash, como DES y MD5, sobre un canal de comunicaciones no seguro.

Estructura Ipsec

EjemplosCasos

EjemplosCasos

Beneficios de utilizar conexiones a distancia.

Beneficios organizativos: Continuidad de las operaciones Mayor capacidad de respuesta Acceso a la informacin integro, seguro, confiable y fcil de administrar Integracin econmica de datos, voz, video y aplicaciones Mayor productividad, satisfaccin y retencin de empleados Reduccin de costos de implementacin Uso de la infraestructura equivalente Beneficios sociales: Mayores oportunidades de empleo para grupos marginados Menos viaje y menos tensin relacionada con el traslado puesto que facilita la conectividad desde grandes distancias en diferentes lugares. Beneficios ambientales: Huellas de carbono reducidas, tanto para trabajadores individuales como para las organizaciones Es posible aprovechar la infraestructura y equipos ya implementados.

 Ahorro Nos permite conectar redes fsicamente separadas sin necesidad de arrendar una red dedicada, esto quiere decir que se aprovecha la infraestructura ya desplegada de internet. Transparencia Interconectar distintas sedes es transparente para el usuario final, ya que la configuracin se puede hacer slo a nivel de pasarela. Seguridad Se pueden asegurar mltiples servicios a travs de un nico mecanismo. Movilidad Nos permite asegurar la conexin entre usuarios mviles y nuestra red fija. Simplicidad Este tipo de soluciones permite simplificar la administrador de la conexin de servidores y aplicaciones entre diferentes dominios.

Ventajas de Usar una VPN

 Ancho de Banda La velocidad de conexin de la VPN depende de la velocidad de conexin a Internet o la red externa que se est utilizando. Intermitencia Si la infraestructura de la conexin de la red externa falla, se pierde la conectividad. Fiabilidad Internet no es 100% fiable, y fallos en la red pueden dejar incomunicados recursos de nuestras VPN. Confianza entre sedes Si la seguridad de un nodo o subred involucrada en la VPN se viese comprometida, eso afectara a la seguridad de todas los componente de la VPN. Interoperabilidad Dado a las distintas soluciones disponibles para implementar un VPN, nos podemos encontrar incompatibilidades entre las usadas en los distintos nodos de la VPN. Requiere Amplio Conocimiento en Redes: La tarea de aumentar la seguridad de una red al implementar soluciones VPN, requiere que el administrador o encargado de la red, posea un alto nivel de conocimientos sobre el tema. Su configuracin puede tornarse compleja.

Desventajas de Utilizar VPNs

 Componentes de la oficina domstica: los componentes de la oficina domstica requeridos son una laptop o PC, acceso a banda ancha (cable o DSL) y un router VPN o software cliente de VPN instalado en la computadora. Algunos componentes adicionales podran incluir un punto de acceso inalmbrico. Durante los viajes, los trabajadores a distancia necesitan una conexin a Internet y un cliente VPN para conectarse a la red corporativa por medio de cualquier conexin de banda ancha, red o acceso telefnico disponible. Componentes corporativos: los componentes corporativos son Routers con capacidad de VPN, concentradores VPN, aplicaciones de seguridad de varias funciones, autenticacin y dispositivos de administracin central para la unificacin y la terminacin flexibles de las conexiones VPN.

REQUISITOS

Otros Beneficios y Ventajas de Utilizar una VPN

Econmicos: las organizaciones pueden usar transporte de Internet de terceros y econmico para conectar oficinas y usuarios remotos al sitio corporativo principal. Esto elimina los enlaces WAN exclusivos y caros, y los bancos de mdems. Mediante el uso de banda ancha, las VPN reducen los costos de conectividad mientras aumenta el ancho de banda de las conexiones remotas. Seguridad: los protocolos de autenticacin y encriptacin avanzados protegen los datos contra el acceso no autorizado. Escalabilidad: las VPN usan la infraestructura de Internet dentro de los ISP y las empresas de telecomunicaciones, y es ms fcil para las organizaciones agregar usuarios nuevos. Las organizaciones, grandes y pequeas, pueden agregar grandes cantidades de capacidad sin incorporar una infraestructura significativa.