IBM Lotus Mobile Connect Proporcionando a los Usuarios

IBM Lotus Mobile Connect Proporcionando a los Usuarios Movilidad y Seguridad avanzadas Juan Ferrándiz (jferrandiz@es. ibm. com) SW Group WPLC Technical Sales ®

El trabajo móvil Trabajador de campo – tablet proporcionada por la empresa - conectado todo el día sin interrupción o con múltiples log-in / log-out – Comercial – portatil y PDA wireless de empresa conectado todo el día sin interrupción o con múltiples log-in / log-out 4 Comienza el día en casa – conexión por cable o wireless a una ADSL 4 Conduce a un cliente – PDA conectada a través de uan red telefónica de un proveedor comercial 4 Reunión con un cliente – PDA y portátil conectados a través de la red telefónica o la red privada del cliente 4 Va a la oficina – conectado por cable o por red inalámbrica en su escritorio 4 Comienza el día en la oficina - conexión por cable 4 Se mueve por la oficina - red inalámbrica privada de la empresa 4 Conduce a un cliente – red telefónica de un proveedor comercial 4 Trabaja en el cliente – red telefónica o red privada de la empresa Industrias § Utilidades § Seguros § Gobierno § Transporte § Detallistas En la oficina Wi. Fi vía WAN interna En la calle GPRS/3 G vía internet o nodo de acceso directo Centro de Datos Data Centre Trabajando en casa Wi. Fi / USB / Ethernet vía internet

¿Qué es una VPN? Túnel cifrado (VPN) Seguridad Extremo-Extremo Intranet Zona segura Zona no segura Dispositivo (PC, PDA, etc. ) Mobility Client DMZ Lotus Mobile Connect Internet Aplicaciones y datos corporativos Proveedor de telefonía móvil o cualquier red (móvil o no) Punto único de entrada a la intranet, a través de un firewall

¿Porqué necesito otra VPN (Virtual Private Network)? Para habilitar un entorno de aplicaciones móviles no basta con una solución que se limite a proporcionar conectividad remota sino que es imprescindible una VPN Móvil: Tipo VPN IPsec Ventaja Funciona mejor conexiones estables y rápidas. SSL Permite el funcionamiento sin cliente, utilizando el SSL de los navegadores. Móvil Gestión de Sesiones, itinerancia transparente, optimización de protocolos. . Desventaja Pérdida de rendimiento entre el 5% y el 30% (coste del protocolo) Vulnerable a la pérdida de la conexión (forzando el rearranque de la VPN y la aplicación) Restringe la operación a aplicaciones Web y acceso a ficheros No proporciona persistencia a la aplicación, ni itinerancia, ni compresión de datos

Lotus Mobile Connect: La solución VPN de IBM VPN Segura para empresas FIPS 140 -2 Certified Seguridad Persistencia IP entre diferentes redes – se mantiene las sesiones IP de aplicaciones críticas de negocio – reconecxión transparentere y sín pérdida de sesión Redes inalámbricas y no – GPRS, WLAN, x. DSL, Ethernet etc Usabilidad LMC Sensible a la Red, para hacer un mejor uso del ancho de banda disponible. Compactación del datos para reducir el volumen del tráfico por la red Eficiencia

Seguridad: Puntos Clave § Privacidad de los Datos Ø Manteniendo la información secreta § Autenticación Ø Identificando quien eres § Autorización Ø Restringiendo el acceso § Auditoria y contabilidad Ø Registro cronológico de la actividad Implementación de Mobile Connect • Encriptación de los Datos • AES / DES / Triple DES • Usuario / Contraseña • RADIUS / RSA Secure ID • Sistemas propios • Listas de control de Acceso • Filtrado de tráfico • Log de Administración • Registros de Auditoria Certificación FIPS 140 – 2

Características de la VPN de LMC: § Amplia variedad de redes soportadas 4 Soporta una gran variedad de redes, tanto cableadas como inalámbricas, a nivel mundial 4 Capacita a los usuarios móviles para conectarse prácticamente a través de cualquier red del mundo 4 Tecnología independiente de los fabricantes de hardware o transporte

Características de la VPN de LMC: § Mantenimiento de Sesión e Itinerancia entre redes 4 Mantiene la persistencia de la sesión en zonas de desconexión o sin cobertura. 4 Proporciona persistencia de sesión para las aplicaciones basadas en TCP, incluso cuando la conexión cambia de una red física a otra. 4 Proporciona acceso a aplicaciones críticas en cualquier instante, a través de cualquier red, de un modo altamente seguro y eficiente. 4 Detecta automáticamente las redes activas, y selecciona la más adecuada en función de la lista de prioridades definidas por el usuario.

LMC – Ejemplo 1 : Mantenimiento de la sesión (1)

LMC – Ejemplo 1 : Mantenimiento de la sesión (2)

LMC – Ejemplo 1 : Mantenimiento de la sesión (3)

LMC – Ejemplo 1 : Mantenimiento de la sesión (4)

LMC – Ejemplo 2 : Itinerancia WLAN-GPRS (1)

LMC – Ejemplo 2 : Itinerancia WLAN-GPRS (2)

LMC – Ejemplo 2 : Itinerancia WLAN-GPRS (3)

LMC – Ejemplo 2 : Itinerancia WLAN-GPRS (4)

Opciones de Conectividad Inteligente …Please investigate by visiting “URL” before retrying the connection. " UDP ? HTTP Mobility Client HTTPS Connection Manager § Los clientes Windows y Linux pueden establecer la conexión sobre los protocolos UDP, HTTP y HTTPS con un Connection Manager que tenga esta opción configurada. 4 Para HTTP y HTTPS se puede definir un número máximo de conexiones. § Se aumenta la capacidad de establecer una conexión desde cualquier red IP. § Los protocolos se prueban en orden de mayor a menor eficiencia, de UDP a HTTPS. 4 Si un protocolo no conecta, el cliente lo intenta automáticamente con el siguiente. 4 Si el intento captura un “portal cautivo”, y no puede pasar (tipicamente porque todavía es necesario autorizar el acceso a Internet, p. e. aceptar las reglas de uso, proporcionar código de acceso, pagar, etc) el cliente presenta la opción la lanzar la URL necesaria para resolver el problema. § Todos los protocolos se prueban antes de utilizar la siguiente red definida.

Características de la VPN de LMC § Optimización del ancho de banda 4 Proporciona una compresión muy eficiente, gestión de la conectividad y optimiza el transporte de paquetes sobre redes IP inalámbricas, incluyendo 2. 5 G y 3 G 4 Reduce los costes de transmisión sobre redes inalámbricas 4 Proporciona un transporte IP optimizado sobre redes inalámbricas no basadas en IP 4 Incrementa la velocidad, mejora la fiabilidad y, en general, la satisfacción del usuario final.

Optimización del tráfico de red File Size in Server Memory (Kb) LMC File Size Over GPRS (Kb) LMC Percent Reduction LMC Realized Throughput (Kb/s) App Log File (sm) 14 5 64% 45 App Log File (sm) 291 119 59% 54 Aop Log File (lg) 973 318 67% 61 77 32 58% 44 2. 660 948 64% 55 System Config File HTML File Average Reduction Assumptions and Calculations Average reduction in bytes transmitted Number of mobile employees Expected data use per month (Mb) Cost per Mb (AUD) Cost without LMC (AUD) for all users pa Cost with LMC (AUD) for all users pa Net Saving (AUD pa) 63% 200 10 $22, 53 $540. 720 $200. 066 $340. 654 63% Los ratios de compresión varían en función de la red, el tipo de ficheros y otros factores

Características de Administración § Administración Descentralizada 4 Incluye un componente (Gatekeeper) que permite configurar todos los servidores (Connection Manager) de nuestra infraestructura § Control de Acceso 4 Permite definir hasta para cada usuario las redes internas a las que podrá acceder tras la conexión 4 Permite filtrar el tráfico por puerto § Auditoria y contabilidad 4 Incluye un registro de conexiones que permite calcular el coste asociado a un usuario o grupo de usuarios

Acceso HTTP Seguro Cliente HTTP (navegador) Formulario de autenticación al Connection Manager Proxy Inverso sólo requerido si hay múltiples servidores web Portal Application Server Dirección Web Pública http: //mobile. myco. com Connection Manager LDAP común para Single-Sign-on (opcional)

Lotus Mobile Connect: Valor Añadido § Acceso sencillo y transparente a nuestra Intranet 4 Desde cualquier parte y usando cualquier red § Seguridad 4 Varios sistemas de autenticación 4 Encriptación de los datos 4 FIPS 140 -2 § Usabilidad 4 4 Mantenimiento de Sesión Itinerancia entre redes Reconexión automática Reducción de costes § Optimización 4 Compresión de datos y tramas 4 Optimización específica para cada tipo de red 4 Reducción de costes § Administración 4 4 Administración descentralizada Listas de control de acceso Filtrado Auditoria de uso para control de costes

Información Adicional

Arquitectura de Lotus Mobile Connect Cliente CM Mobility Client Network Routing + Filtering Authentication + Encryption HTTPS Remote Web Access ODBC LDAP Messaging Services Distributed Administration XML Gatekeeper Applications Compression + Optimization High Availability + Load Balancing + Clustering SMS + Paging Mobile VPN + Roaming Accounting, Session, Logging + SNMP SSL Mobile Network Connections Protocols + Connection Profiles Client-less Networks & Carrier Infrastructure Distributed SDK APIs + SSO

Lotus Mobile Connect V 6. 1: Componentes y Plataformas Connection Manager (servidor) § Linux 4 Red. Hat Enterprise Linux 4. 0 ES/AS 4 Su. SE Linux Enterprise Server 9, Su. SE Linux Enterprise Server 10 § IBM AIX 4 AIX Version 5. 1 ML 4, 5. 2 ML 2, 5. 3 § Sun Solaris 4 Solaris 9, Solaris 10 Mobility Client (cliente) § Microsoft Windows § Linux Windows 2000, Windows XP Novell Desktop 9, 10, Red. Hat Enterprise Linux 4. 0 WS § Microsoft Windows Mobile WM 2003, 2003 SE, WM v 5 Pocket PC § Microsoft Windows CE. Net 4. 2 § Symbian (Select Devices) Nokia 9300, 9300 i, 9500; Nokia E 50, E 61, E 62, E 70 Administración Distribuída con “Gatekeeper” § Consola de Administración Java multiplataforma (JRE 1. 4. 2) § Portlets de administración para Web. Sphere Portal

Gestión de datos, Autenticación e Integración flexibles Usuarios • Servidor LDAP • BBDD Relacional • Archivos locales • Servidor RADIUS • Lotus Domino • Microsoft Active Directory • RSA Secur. ID • Certificate Authority Información de Configuración • Servidor. LDAP • BBDD Relacional • Archivos Locales Información de Sesiones en tiempo real • BBDD Relacional • Archivos locales Registros de Contabilidad y Auditoria • BBDD Relacional • Archivos Locales • Servidor RADIUS § Estándares Abiertos § Esquemas de LDAP y BBDD Relacional documentados § Métodos de Autenticación: 4 LDAP, Active Directory, RADIUS, Secur. ID, Certificates (X. 509), Smartcards, System 4 Autenticación en dos fases § Perfiles de Autenticación aplicados para Políticas 4 Se puede usar más de un método de autenticación simultáneamente, lo que permite utilizar distintas políticas de seguridad entre distintos grupos de usuarios § Soporte de Single Sign On: LTPA Tokens, Web. Sphere Application Server TAI, RADIUS Accounting, Session DB (ODBC) 4 Integración con Windows Logon en Windows XP ( vía Windows Domain 4

Estándares Abiertos: LDAP y ODBC § Lotus Mobile Connect soporta la gestión distribuida de datos a través de Estándares abiertos 4 LDAP – Lightweight Directory Access Protocol 4 ODBC – Open Data. Base Connectivity § Se soporta también una opción de archivos locales para pilotos o despliegues pequeños que no requieran escalabilidad or integración con directorios o bases de datos existentes en su infraestructura § Probado con los directorios y gestores de base de datos líderes del mercado: Soporte de Directorios LDAP Soporte de Base de Datos Relacional § Tivoli Directory Server 5. 1, 5. 2, 6. 0 § IBM DB 2 8. 1 FP 3, 8. 2, 9. 1 § Open. LDAP 2. 0. 27, 2. 1 § Oracle 9*, 10* § Netscape Directory 4. 1 § Red. Hat Directory 7 § Sun ONE Directory Server 5 4*Requiere Data. Direct Connect para drivers ODBC

Acceso HTTP Seguro § Los servicios de acceso HTTP proporcionan un túnel SSL para comunicarse con cualquier aplicación HTTP § El Proxy Inverso sólo es necesario si los servicios HTTP de LMC han de proporcionar acceso a varios servidores HTTP distintos. § La conexión entre el cliente HTTP (navegador) y LMC es SSL § La conexión entre LMC y el Proxy Inverso puede asegurarse con SSL (opcional) § Los servicios HTTP de LMC buscan credenciales válidas en la petición del cliente, y si no las encuentran, devuelven una página con un formulario de login para introducir usuario y contraseña. § Se puede configurar los servicios HTTP de LMC para soportar Single-Sign-On sobre LTPA.

Integración con Windows Logon Paso 1: El Mobility Client se conecta con el Connection Manager con las credenciales de de Windows del usuario antes de intentar el logon de Windows. Red Corporativa Cliente Windows Mobility Client (GINA) Usuario / contraseña LDAP-bind auth Mobile Connect logon Mobile Connection Manager Paso 2: El Mobility Client permite que continúe el logon de dominio de Windows, usando el tunel virtual para alcanzar el controlador de dominio de la red corporativa. Microsoft Active Directory Corporate Network Windows Client Windows domain logon Mobility Client (GINA) Mobile Connect secure, encrypted tunnel Mobile Connection Manager Microsoft Domain Controller

Mensajería, Busca, y Push § Mobile Connect Server soporta SMS-C y Protocolos Estándares de Mensajería : 4 WCTP - Wireless Communications Transfer Protocol sobre TCP/IP, un estándar de mensajería/busca de dos vías basado en XML 4 UCP - Universal Computer Protocol sobre X. 25 y TCP/IP 4 SNPP - Simple Network Paging Protocol sobre TCP/IP 4 SMPP - Short Message Peer to Peer sobre X. 25 y TCP/IP 4 SMTP - Simple Mail Transfer Protocol sobre TCP/IP 4 PAP – Push Access Protocol § Es una Pasarela de Mensajería completa que soporta conexiones simultáneas a diferentes redes SMS-D y de buscas. § Los Servicios de Mensajería y el Toolkit de “Push” proporciona una API simple para mandar y recibir mensajes cortos a través del Servidor a una amplia variedad de dispositivos sobre múltiples redes. 4 (no se necesita el cliente Mobile Connect en el dispositivo)

Configuraciones del Servidor: Versátil, Escalable, Fiable Conf. Cluster Alta Disponibilidad Configuraciones desde un Servidor simple x 86, … hasta un sistema de alta disponibilidad distribuído § § § Se puede usar un servidor simple con un back-up, y el cliente puede seleccionar automáticamente el back-up si es necesario. Redundancia para los nodos subordinados § todos los requisitos de software incluidos Servidores DB 2 / LDAP configurados con HACMP § § Puede ejecutarse en un único servidor auto contenido, con HACMP usado para el nodo principal de Mobile Connect Sitio Central o distribución geográfica § Se pueden usar clusters de Servidores Mobile Connect 4 Balancea dinámicamente la carga 4 Proporciona alta disponibilidad y escalabilidad horizontal § Los Clusters se pueden combinar con sistemas de alta disponibilidad hardware / software para construir sistemas de alta disponibilidad § Mobile Connect puede configurarse para múltiples soluciones de empresa Conceptos de Clustering de Mobile Connect Nodo Principal [ P ] 4 4 Interactúa con las redes externas Distribuye el tráfico a los nodos subordinados Mantiene comunicación de dos vías con los subordinados Un nodo puede ser principal y subordinado Nodo Subordinado [ S ] 4 4 4 Procesa el tráfico (criptografía, optimitaciones de datos, …) Envía el “heartbeat” e información de monitorización al principal Los nodos subordinados pueden añadirse en caliente para escalar dinámicamente

Lotus Mobile Connect – Arquitectura de Cliente Aplicaciones Mobility Client Toolkit API Interfaces de red Mobility Client UI § W-WAN dev driver 802. 11 abg dev driver Ethernet dev driver Lotus Mobile Connect § Adaptador Virtual § Adaptadores Físicos . . . Ethernet 802. 11 abg W-WAN § Lotus Mobile Connect Runtime TCP/IP Estándar del SO . . . Lotus Mobile Connect . . . non-IP § Una tecnología de red móvil que permite el cambio entre múltiples redes e itinerancia transparente para aplicaciones TCP/IP. Una API para detección de conexión, de redes wireless, etc Redes Wireless (W-WAN, W-LAN) y Wireline Los adaptadores virtuales de red aíslan las aplicaciones de las interrupciones y desconexiones de red Redes Wireless IP y no-IP

Mobile Connect Mobility Client Toolkit § Las aplicaciones pueden ejecutarse sin modificar sobre Lotus Mobile Connect, obteniendo movilidad, seguridad y eficiencia transparentemente. § Además, las APIs del cliente se pueden usar para mejorar soluciones de movilidad y darles la capacidad de detectar el estado de la red. § El SDK de Lotus Mobile Connect Mobility Client soporta: 4 Java 4 C, C++ § Las aplicaciones pueden ejecutar la funcionalidad principal del cliente sin que el usuario tenga que saberlo, ni interactuar con el mismo. § Se puede crear una solución integrada § Controlar la operación desde la aplicación con las APIs del SDK de Lotus Mobile Connect 4 log on/log off 4 Monitorizar eventos y disponibilidad de la red, y preguntar por distinta información de conectividad 4 Detectar fácilmente caídas e itinerancia de red 4 Cambiar de red física bajo el control de la solución sin perder la sesión TCP/IP 4 Funcionar sobre redes IP (Ethernet, Wi. Fi, Cellular 2. 5 G, 3 G, …) y no-IP

Ejemplo de Solución de un Partner: Integración de Cliente § La solución Fiberlink Extend 360 controla la funcionalidad del Mobility Client con un interfaz sencillo. TM § Las APIs de Lotus Mobile Connect son invocadas por el cliente Fiberlink, y no se usa el interfaz de IBM. § La solución conjunta de Fiberlink Extend 360 TM e IBM combina el acceso remoto y la gestión de políticas de seguridad de Fiberlink con la VPN segura y la itinerancia persistente entre redes de Lotus Mobile Connect. http: //www. fiberlink. com/release/en-US/Home/Utility/Press. Center/Coverage/Press. Release/2006/pr 032806. html

Ejemplo de Solución de Partner: Integración de Servidor http: //www-304. ibm. com/jct 09002 c/isv/marketing/industrynetworks/howto/cryptek_success. html * Implementada usando la versión anterior (Web. Sphere Everyplace Connection Manager, WECM) § Integración de Lotus Mobile Connect (WECM*) & Cryptek CIM-1. Mobile Connect AES Tunnel Integration User Session Info TRAPs for Logon, Logoff, and Network Roam Events are used by Cryptek Dynamic Database Query the Client Information Notified by TRAPs Automated PUSH Mobile Client Info To Central Mgt. Data Traffic COI Policy Updates Networks Session Database + Connection Profiles Mobile Connect AES Tunnel Mobile Network Connections Protocols 4 Integra los eventos de ejecución de SNMP TRAPs y el acceso dinámico a base de datos de Mobility Client. 4 Ofrece a los empresas comerciales y a los goviernos una solución con seguridad que cambia dinámicamente basándose en quien puede acceder que información desde donde ( “Comunidad de Cryptek Applications hosts Interes” autorizada) Diamond. Central Mobile Connect Server Data Cryptek Diamond. Pak Community of Interest (COI) Enforced Additional Dynamic Policy Info from Mobile Connect: • User ID • Device Type • Network Connectivity Type Source “A” Data Source “B”

Lotus Mobile Connect en Resumen Una solución Total de Acceso Remoto y Seguro § Fuerte Seguridad, Certificación FIPS 140 -2 § VPN Móvil con optimización del tráfico para problemas de latencia y ancho de banda en la red § Single Sign-on con Web. Sphere Application Server § Itinerancia segura entre diferentes redes con persistencia en la aplicación § Opera sobre distintas redes: no-IP, IPv 4, cableada o wireless § Ningún cambio en las aplicaciones, ningún cambio en las redes § Permite atravesar Firewalls § Arquitectura de Servidor distribuida, Escalable y Fiable § Network Address Translation, Filtrado de Paquetes, Gestión § Pasarela de Mensajes Cortos – SMS, Paging, Push

Acceso Rápido a Recursos y Herramientas § Lotus Mobile Connect 4 http: //www. ibm. com/software/sw-lotus/product 1. nsf/wdocs/mobileconnect § Lotus Mobile Connect Datasheet 4 ftp: //ftp. software. ibm. com/software/lotusweb/product/mobileconnect/datasheet. pdf § SOA & Mobile and Enterprise Access white paper 4 ftp: //ftp. software. ibm. com/software/lotusweb/websphere/everyplace/Mobile_and_Enterprise _Access_white_paper. pdf § Sametime plus Mobile Connect flyer 4 ftp: //ftp. software. ibm. com/software/lotusweb/product/sametime/Sametime_for_Mobile. pdf § IBM Partner. World Resources 4 http: //www. ibm. com/partnerworld/pwhome. nsf/weblook/ben_trs. html § Partner Training Resources 4 http: //www. ibm. com/jct 09002 c/isv/spc/events/ws_econnection. html § IBM Virtual Innovation Center 4 http: //www-304. ibm. com/jct 09002 c/isv/welcome/vic. html

© IBM Corporation 2007. All Rights Reserved. The workshops, sessions and materials have been prepared by IBM or the session speakers and reflect their own views. They are provided for informational purposes only, and are neither intended to, nor shall have the effect of being, legal or other guidance or advice to any participant. While efforts were made to verify the completeness and accuracy of the information contained in this presentation, it is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, this presentation or any other materials. Nothing contained in this presentation is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in this presentation to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in this presentation may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. Nothing contained in these materials is intended to, nor shall have the effect of, stating or implying that any activities undertaken by you will result in any specific sales, revenue growth or other results. Performance is based on measurements and projections using standard IBM benchmarks in a controlled environment. The actual throughput or performance that any user will experience will vary depending upon many factors, including considerations such as the amount of multiprogramming in the user's job stream, the I/O configuration, the storage configuration, and the workload processed. Therefore, no assurance can be given that an individual user will achieve results similar to those stated here. All customer examples described are presented as illustrations of how those customers have used IBM products and the results they may have achieved. Actual environmental costs and performance characteristics may vary by customer. IBM, the IBM logo, Lotus Notes, Domino, Domino. Doc, Domino Designer, Lotus Enterprise Integrator, Lotus Workflow, Lotusphere, Quick. Place, Sametime, Web. Sphere, Workplace Forms, Workplace Managed Client, Workplace Web Content Management, AIX, AS/400, DB 2 Universal Database, developer. Works, e. Server, Easy. Sync, i 5/OS, IBM Virtual Innovation Center, i. Series, OS/400, Passport Advantage, Partner. World, Rational, Redbooks, Software as Services, System z, Tivoli, x. Series, z/OS and z. Series are trademarks of International Business Machines Corporation in the United States, other countries, or both. Java and all Java-based trademarks are trademarks of Sun Microsystems, Inc. in the United States, other countries, or both. Microsoft and Windows are trademarks of Microsoft Corporation in the United States, other countries, or both. Intel and Pentium are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. UNIX is a registered trademark of The Open Group in the United States and other countries. Linux is a registered trademark of Linus Torbvalds in the United States, other countries, or both. Other company, product, or service names may be trademarks or service marks of others. All references to Acme, Renovations and Zeta Bank refer to a fictitious company and are used for illustration purposes only.