Melhores serviços de diretório de rede e ferramentas de monitoramento

"Diretório" é um termo comum em computação que pode significar uma variedade de coisas. No entanto, nas redes, o diretório geralmente está relacionado aos dados do usuário e a uma lista de recursos que podem ser contatados na rede.

Portanto, existem dois tipos de diretórios para cuidar em uma rede: um lista pessoas e o outro lista equipamentos. Neste guia, investigaremos os diferentes sistemas de diretórios atualmente em operação nas redes atualmente.

Formato de armazenamento de diretório

Qualquer lista de dados pode ser mantida em um computador na forma de um arquivo ou em um banco de dados. Os primeiros sistemas de diretórios eram baseados em arquivos. No entanto, o desenvolvimento de sistemas de gerenciamento de banco de dados tornou a opção de banco de dados mais eficiente. Os bancos de dados são mais fáceis e rápidos de pesquisar e os idiomas de consulta usados ​​para eles (geralmente SQL) permitem que operadores booleanos (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT) sejam incluídos no pesquisas.

Procedimentos de acesso ao diretório

É preferível empregar um sistema de diretório que dependa de um protocolo disponível abertamente do que comprar um sistema proprietário que usa seus próprios formatos de comunicação. Os serviços de diretório requerem dois componentes básicos, que são um cliente e um servidor. O servidor é o programa que mantém o banco de dados e gerencia o acesso aos dados. O cliente geralmente é incorporado a uma interface que exibe dados recuperados, permite que esses dados sejam alterados ou permite que ações sejam executadas condicionalmente no recebimento dessas informações.

Se você optar por instalar um sistema de diretório baseado em protocolos universais, poderá “misturar e combinar” o sistemas cliente e servidor, porque eles terão a garantia de poder interagir entre si, independentemente de quem escreveu eles. Além disso, as informações contidas nos diretórios de rede podem ser exploradas por ferramentas de monitoramento e relatório de atividades, como sistemas de detecção de intrusão (IDSs). A instalação de um gerenciador de diretório que implementa o protocolo comumente usado garante que as informações contidos nesses diretórios estarão acessíveis aos usuários que monitoram e controlam recursos pacotes.

LDAP (Lightweight Directory Access Protocol)

O LDAP é um protocolo de serviço amplamente implementado como mecanismo de acesso a uma ampla variedade de diretórios de rede. Vários sistemas de diretório de rede listados aqui abaixo usam procedimentos LDAP.

Como é um protocolo e não um software, não é possível comprar o LDAP e instalá-lo. Em vez disso, você adquiriria e executaria um programa que implementa as regras LDAP. Um protocolo descreve uma lista de padrões e procedimentos de trabalho que atingirão uma meta; portanto, o protocolo em si não depende do sistema operacional. Isso significa que qualquer pessoa pode desenvolver uma implementação LDAP para Windows, Linux, Unix ou qualquer outro sistema operacional.

Um elemento importante da definição LDAP é que ela define uma linguagem de comando que permite que os clientes se comuniquem com o servidor LDAP. Como o padrão está disponível ao público, qualquer pessoa pode usá-lo para criar um aplicativo que interaja com um servidor LDAP. Isso significa que o LDAP pode ser integrado ao software comercial e também pode ser integrado a qualquer programa personalizado interno que você possa desenvolver. Essa flexibilidade e universalidade tornaram o LDAP o padrão de fato para o procedimento operacional dos serviços de diretório.

O LDAP é usado para todos os servidores DNS (Serviço de Nome de Domínio), para que você empregue o sistema LDAP regularmente na sua rede, independentemente de perceber ou não.

OpenLDAP

Como o nome sugere, o OpenLDAP é a implementação mais pura do sistema LDAP que você encontrará. Esta é uma biblioteca de procedimentos que podem ser integrados a outros programas. OpenLDAP é um projeto de código aberto e qualquer pessoa pode acessar seu código gratuitamente. O código também é implementado pelo projeto OpenLDAP como bibliotecas Java e, portanto, é possível acessar o sistema através de interfaces GUI em qualquer sistema operacional.

Como este pacote é uma biblioteca de códigos, poucos administradores de rede implementam o procedimento OpenLDAP diretamente. Em vez disso, você deve procurar aplicativos comerciais que declarem o uso do OpenLDAP.

Diretório ativo

O Active Directory da Microsoft era um sistema de gerenciamento de usuários inovador, criado para o Windows. Foi inventado em 1999 e foi tão bem planejado que ainda é amplamente utilizado.

O Active Directory mantém uma lista de usuários autorizados para uma rede. Ele é capaz de categorizar esses usuários por níveis de permissão, para que um usuário com privilégios de administrador seja reconhecido e tenha maior acesso que os usuários regulares. Um benefício secundário do Active Directory é que ele também verifica os direitos dos computadores na rede. Portanto, este é um ótimo serviço de segurança, pois garante que apenas os dispositivos autorizados estejam conectados à rede e que somente usuários autorizados possam efetuar login nesses computadores. É possível bloquear o acesso a alguns equipamentos para determinados grupos de usuários e reservar acesso a aplicativos específicos para aqueles com direitos de administrador.

A principal limitação do Active Directory é que ele se integra apenas a outros produtos da Microsoft, portanto você não pode usá-lo no Linux. Além disso, não é possível controlar o acesso a pacotes de produtividade que não são da Microsoft, como o Google Docs. À medida que a lista de serviços concorrentes bem-sucedidos e sistemas baseados em nuvem aumenta, a usabilidade do Active Directory diminui.

Novell Directory Services (NDS)

O sistema NDS foi inventado para fornecer serviços de diretório para redes Novell Netware. No entanto, ele também pode operar em redes que não possuem o Netware instalado. O software pode ser executado no Windows, Sun Solaris e IBM OS / 390. Essa foi uma implementação inicial do LDAP e, portanto, tornou-se uma referência para outras implementações de serviços de diretório. Seu uso do LDAP apontou o caminho para desenvolvimentos posteriores e formou um modelo para o Active Directory.

Lista de Controle de Acesso (ACL)

O ACL é um sistema de gerenciamento de acesso rival ao LDAP. Embora não seja tão amplamente implementada quanto o LDAP, a ACL ainda é um sistema muito conhecido e foi implementada várias vezes para sinalizá-la no setor como um serviço de autenticação confiável.

O sistema ACL depende de um formato de armazenamento de dados que cria uma árvore de atributos. Na terminologia da ACL, o recurso que está sendo protegido é chamado de "objeto". Cada objeto recebe uma lista de usuários permitidos e, dependendo do tipo de objeto a ser protegido, cada usuário recebe um ou mais permissões.

A ACL pode ser aplicada ao acesso a arquivos ou à rede. As ACLs baseadas em rede podem ser úteis para sistemas de prevenção de intrusões (IPSs) porque controlam o acesso a endereços de host específicos e podem até bloquear seletivamente o acesso às portas. Nas redes, os direitos de acesso documentados pela ACL são implementados em comutadores e roteadores.

As ACLs modernas usam bancos de dados SQL para armazenamento de permissões, em vez de arquivos. Esse avanço também possibilitou que a ACL evoluísse além dos controles de acesso do usuário para o gerenciamento de grupos de usuários. Isso simplifica a administração de permissões de acesso, principalmente em redes, nas quais a ACL pode precisar registrar cada usuário várias vezes, a fim de dar acesso até aos requisitos básicos de recursos de um escritório do utilizador.

Identidades e soluções de gerenciamento de acesso (IAMs)

Uma categoria de utilitário de rede que você pode encontrar ao investigar sistemas de autenticação de usuário é Identity and Soluções de Gerenciamento de Acesso, ou IAMs. Este termo descreve uma solução mais ampla para autenticação do usuário do que apenas um diretório serviço. No entanto, um diretório ou mesmo vários diretórios estarão no coração de qualquer IAM. Portanto, ao comprar sistemas de acesso e autenticação, procure ferramentas que tenham uma missão muito mais ampla do que apenas o gerenciamento de diretórios. No entanto, esteja ciente de que você precisa do serviço de diretório no núcleo do IAM para implementar um protocolo, como LDAP, para que o acesso ao diretório também esteja disponível para outros formulários.

Sugestões para serviços de diretório de rede

Esta lista apresenta algumas sugestões de aplicativos que você pode tentar como serviços de diretório específicos em sua rede. No entanto, outros aplicativos que você usa regularmente, como servidores da Web ou gerenciadores de endereços IP, também integrarão serviços de diretório.

A parte "DaaS" do nome deste produto significa "diretório como serviço". Esta é uma emulação do termo “software como um serviço." Os serviços de software on-line baseados na nuvem usam o SaaS / software como um termo de serviço para descrever sua configuração. Portanto, o nome do JumpCloud informa instantaneamente que é um serviço online que entrega um servidor de diretório pela Internet.

Este é um produto pago que implementa o Active Directory. No entanto, o JumpCloud estende os recursos do Active Directory para os sistemas Unix e Linux, simulando o AD com uma implementação LDAP para esses sistemas operacionais. O JumpCloud oferece uma maneira elegante de fazer o AD funcionar com todos os seus recursos, não apenas aqueles fornecidos pela Microsoft. Você não precisa pagar pelo JumpCloud DaaS se o usar apenas para até 10 usuários.

A execução de serviços de segurança pela Internet cria um componente extra que pode falhar e também cria uma oportunidade extra para hackers interceptarem seu tráfego e romperem sua autenticação processos. Felizmente, o JumpCloud criptografa todas as comunicações entre seu cliente e o servidor mantidas no site remoto JumpCloud.

Colocar o AD na web é uma solução interessante para quem não usa muitos recursos no local, mas confia em servidores em nuvem e SaaS para aplicativos do usuário. O modelo baseado em nuvem também é interessante para as empresas que têm muitos trabalhadores baseados em casa ou com agentes, consultores ou artesãos que trabalham nos sites dos clientes o tempo todo.

O JumpCloud DaaS é um exemplo de como aplicativos tradicionais baseados em site podem ser facilmente adaptados para entrega remota servidores e como nunca é tarde para um inovador entrar e reformular ou estender a funcionalidade de Serviços.

O Amazon Web Services oferece uma alternativa ao JumpCloud DaaS. Essa é outra implementação do Active Directory baseada na nuvem e é fornecida por um dos maiores defensores da nuvem. Você pode optar por usar esse serviço de diretório como sua configuração atual no local ou usá-lo para migrar seu armazenamento e software para outros serviços da AWS.

Ao contrário do JumpCloud, o Serviço de Diretório da AWS não estende os recursos do AD ao Unix e Linux. Em vez disso, esta é uma implementação pura do Microsoft Active Directory hospedada na nuvem.

A Amazon não oferece o AWS Directory Service gratuitamente. No entanto, o modelo de precificação é muito escalável e baseado em uma taxa horária, cobrindo dois domínios, com uma taxa mais baixa para cada domínio adicional adicionado ao plano. Isso não é tão bom quanto grátis. No entanto, você pode experimentar o serviço gratuitamente por 30 dias.

O site do 389 Directory Server alega que este software é "reforçado pelo uso no mundo real". Como administrador de rede reforçado, você provavelmente se relacionará com o uso de palavras. Este é um projeto de código aberto e é um produto sem frescuras. Se você não tem problema em compilar os programas por conta própria e não se importa de vasculhar o código, vai adorar esse sistema de diretórios. O pacote inclui um final de fonte da GUI para ambientes Gnome para oferecer facilidade de uso com apontar e clicar.

O 389 Directory Server está disponível para Linux e é gratuito. Os procedimentos do serviço são gravados nos padrões LDAP, portanto, é como o Active Directory para Linux.

Se você administra um site, é muito provável que você também tenha o Apache Web Server. O Apache Directory é uma implementação LDAP gratuita, gerenciada pela mesma organização que organiza o software do servidor web. Não há interoperabilidade estrita entre o Apache Directory e o Apache Web Server - eles são dois produtos distintos. No entanto, o fato de você confiar no pacote do servidor Web do Apache deve fornecer confiança para experimentar o diretório Apache, que é gratuito.

Você precisa baixar e instalar dois softwares para ter uma implementação completa do Apache Directory. No entanto, ambos são totalmente compatíveis com LDAP, portanto, você pode substituí-lo por um aplicativo diferente, desde que também seja baseado em LDAP. O módulo do servidor é chamado Apache DirectoryDS e o cliente é chamado Apache Directory Studio. O segundo desses dois pacotes permite exibir e alterar os registros de diretório mantidos no servidor. Tanto o cliente quanto o servidor são totalmente gratuitos e são executados no Windows, Unix, Linux e Mac OS.

Anteriormente, você leu sobre os sistemas de gerenciamento de identidades (IMS) e o FreeIPA está incluído nesta lista de serviços de diretório para tentar porque é um bom exemplo de um IMS. Você não precisa se preocupar em desperdiçar dinheiro experimentando este utilitário, pois ele é gratuito.

"IPA" significa Identidade, Política e Auditoria. Essas três prioridades resumem os processos de autenticação necessários para sua rede e todos os seus recursos de TI. Como explicado acima, os serviços de diretório fazem parte dos sistemas IMS. No caso do FreeIPA, o componente do servidor de diretórios é fornecido pelo 389 Directory Server. Portanto, você pode optar por instalar o 389 Directory Server para obter uma implementação LDAP ou expandir seus serviços de autenticação e controle de acesso, acessando um IMS completo com o FreeIPA.

O FreeIPA é um projeto de código aberto, para que você possa examinar o código para garantir que não haja procedimentos de coleta de dados ocultos. O serviço oferece opções sobre as metodologias de autenticação que você implementa dentro do Estrutura do IMS - Kerberos é uma boa opção de código aberto disponível nesta categoria de IMS tarefas.

Este IMS é executado no Unix ou Linux. No entanto, ele também é capaz de monitorar sistemas Windows e também pode instalar e monitorar o ambiente Mac OS compatível com Unix. O conceito FreeIPA coleta tecnologias pré-existentes, incluindo o Apache HTTP Server e o Python APIs de programação para fornecer um IMS completo com base em componentes que você sabe que são “protegidos por uso no mundo real. "

Monitoramento de diretório de rede

O benefício de usar um serviço de diretório conhecido é que muitos aplicativos de monitoramento do sistema podem explorar o informações contidas nos registros de controle de acesso a recursos para gerenciar e controlar totalmente sua rede e seus Serviços.

Existem vários sistemas de monitoramento de rede muito úteis que exploram dados do diretório para fornecer controle total sobre as atividades da sua rede. Aqui estão os que você realmente precisa saber sobre:

Os produtos SolarWinds operam no Windows Server, portanto, não há problema de compatibilidade com Diretório ativo. Como um sistema de monitoramento destinado a ambientes Windows, o SolarWinds fez questão de incorporar o monitoramento do Active Directory nessa ferramenta. Os registros do AD em sua rede permitem que o monitor rotule a carga do servidor por demanda do usuário e também rastreie essa atividade pela rede se você também tiver a empresa Analisador de Tráfego NetFlow e Rastreador de dispositivo do usuário instalado.

O SolarWinds produz uma variedade de utilitários de monitoramento de recursos e todos eles são gravados em uma plataforma comum, chamada Orion. Isso permite que cada módulo que você instala interaja com os outros produtos SolarWinds em execução no servidor. O módulo PerfStack do Server and Application Monitor funciona melhor se você também tiver monitores de rede instalados, como o Monitor de desempenho de rede SolarWinds. Isso ocorre porque o PerfStack mostra cada nível da pilha de serviços juntos, para que você possa identificar rapidamente onde realmente existem problemas de desempenho.

O Rastreador de dispositivos do usuário explora particularmente as informações que você mantém no Active Directory para informar os outros monitores no conjunto da origem da carga de recursos. O rastreador ajuda a detectar violações de segurança e o Network Performance Monitor e o NetFlow Traffic Analyzer mostram tráfego excessivo que pode significar atividades de invasor. Você pode obter todos e quaisquer desses produtos da SolarWinds em uma avaliação gratuita de 30 dias.

O PRTG é um monitor unificado de rede, servidor e aplicativo. Se você usar essa ferramenta, poderá implementá-la da forma mais ampla ou restrita que desejar, pois seu escopo é completamente personalizável. O sistema PRTG é composto por centenas de sensores. Cada sensor precisa ser ativado, portanto, sem a sua intervenção, todos os recursos do sistema permanecerão inativos. Um sensor concentra-se em um aspecto de seus serviços de rede ou em um recurso. Por exemplo, existe um sensor Ping para monitoramento de tráfego e também uma série de sensores que exploram seus diretórios LDAP para obter informações.

Paessler não cobra pelo PRTG se você ativar apenas até 100 sensores. Portanto, você pode usar a ferramenta como um monitor do Active Directory. Enquanto você tem o utilitário assistindo às suas atividades do AD, também há espaço nessa oferta de serviço gratuita para monitorar algumas outras atividades na sua rede. Você pode ativar os sensores SNMP e NetFlow para obter feedback sobre o tráfego de rede ou optar por ativar monitores de portas ou sensores de status do servidor.

Se você quiser usar mais do que apenas 100 sensores, poderá obter o PRTG em uma avaliação gratuita de 30 dias. O PRTG é instalado no ambiente do Windows Server.

O ManageEngine produz um conjunto de excelentes monitores de recursos que são executados no Windows ou Linux. No estábulo ManageEngine, você encontrará várias ferramentas especificamente personalizadas para o monitoramento do Active Directory. O ADAudit Plus é um desses utilitários. Essa ferramenta ajudará você a administrar o AD por meio da interface ManageEngine e também rastreará todas as atividades do usuário, incluindo logon e logoff. Isso ajudará você a detectar atividades ilógicas do usuário e tentativas excessivas de login que possam indicar presença de invasores.

O ADAudit Plus é rico em recursos e inclui recursos de rastreamento e relatórios. Você pode obtê-lo em uma avaliação gratuita de 30 dias. Se você não quiser pagar após o período de avaliação, pode optar pela versão gratuita desta ferramenta ManageEngine. O ManageEngine oferece várias ferramentas gratuitas do Active Directory, incluindo o Ferramenta de consulta do Active Director, a Gerador de CSV, que extrai registros do AD, o Último Login Repórter, e as Gerenciador de Replicação do AD, entre outros.

Serviços de Diretório

Você tem muitas opções quando começa a procurar serviços de diretório de rede. Felizmente, este guia deu a você um ponto de partida para sua pesquisa.

Você usa algum dos utilitários mencionados neste guia? Você prefere uma ferramenta que não abordamos aqui? Deixe uma mensagem na seção Comentários abaixo para compartilhar seu conhecimento com a comunidade.