Forum

Herhangi birisinin ...
 
Bildirimler
Hepsini Temizle

Herhangi birisinin AD'ye doğrulama isteği göndermesi normal mi?

9 Yazılar
3 Üyeler
1 Reactions
442 Görüntüleme
(@sukruozdemir)
Gönderiler: 126
Estimable Member
Konu başlatıcı
 

Merhabalar,

Ağdaki herhangi bir cihazın, web servisin, vs. AD'ye kullanıcı adı ve parola sorup, True ya da False dönüş alması normal mi?

 
Gönderildi : 29/02/2024 13:07

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33311
Illustrious Member Yönetici
 

Merhaba, tam soruyu anlamadım, bir web servis örneğin bir web sayfasını barındırıyor olsun, eğer web sayfası bir kimlik doğrulama istiyor ve bu kimlik doğrulamayı örneğin wordpress deki gibi kendi veri tabanından yapmıyor ve bunu IIS üzerinden veya yazılımcının kodları ile SSO yapmak için AD den talep ediyor ise gayet normal bir şey. Benzer şekilde network cihazı NAC vb için makine veya kullanıcı doğrulamasını AD den yapacak şekilde ayarlanmış olabilir.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 29/02/2024 13:46

(@sukruozdemir)
Gönderiler: 126
Estimable Member
Konu başlatıcı
 

Mesela ben Çözümparka geldim, yapıda AD var olduğunu düşünelim ve çalışanların bilgisayarları AD'ye join olmuş durumda, DNS sorguları falan AD ye yapılıyor. Oturdum bir masaya oranın ağına katıldım bende. AD sunucularına herhangi bir user ve pass ile deneme yapabilir miyim? 

Örneğin
Ofiste oturuyorum, bir web sayfa yazdım, user ve pass girince AD ye erişip doğru mu değil mi diye kontrol edip gelebilir mi bu normal mi?

Eğer bu normal ise; Bir kişi içeride bir web sayfa yapıp, istediği gibi bizim AD verilerimiz ile kullanıcıyı login ederek, çeşitli amaçlar için çalışmalar yapamaz mı?

Çok saçma bir şey de soruyor olabilirim, düşündükçe hem çok yanlış geliyor hem de çok doğru geliyor.

 
Gönderildi : 29/02/2024 14:51

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4563
Co-Helper
 

1. Normal, niye yapılmasın ki. Bunun sınırlandırmak için lockout policy uygularız.
2. Niye normal olmasın ki hem gerekli aracıyı yazıyor hem de pass bilgisini biliyor. İllegal ise pass'i nereden biliyor derler.
3. Siz bilgiyi vermeden, kullanıcılar giriş yapmadan yapamazlar. Phishing yöntemlerinde niye şifreyi almaya çalışıyorlar sizce.
Aradığınız şey belki de LDAP güvenliğidir buna paralel araştırınız mic. doc da çok şey görürsünüz. Ayrıca portal da AD sıkılaştırma makalesi mevcut.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 29/02/2024 20:12

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33311
Illustrious Member Yönetici
 

Normalde siz bir şirkete giderseniz NAC yok ise evet şak diye dc ye sorgu atarsınız, ama normal şirketlerde misafir ağı dc makinesine ulaşamaz. Hele web sitesi kuruyorsun ona gelen sorguları DC ye soruyor bu daha iddialı bir durum.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 01/03/2024 12:12

(@sukruozdemir)
Gönderiler: 126
Estimable Member
Konu başlatıcı
 

@hakanuzuner 
NAC falan hak getire hocam 😀  
Ağlar firewall tarafında kısıtlanıyor misafir, personel, öğrenci, kablolu kablosuz vs. Aslında bu sorumun asıl sebebi, dış paydaş bir şirkete içeriden sunucu veriyoruz, gerekli anlaşmalar vs yapılıyor, bu şirket bir web site yayınlıyor, yayınladığı sayfa da login işlemini bize bir şey sormadan da AD miz üzerinden yaptırabiliyor. Yayınlanacak sayfanın domainini falan her şeyi biz veriyoruz zaten legal olmayan bir durum yok da, biz adama login servisi verecekken adam AD miz üzerinden direk kullanıcılarımızı login ettirmeye başlayabiliyor.

 
Gönderildi : 01/03/2024 13:54

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33311
Illustrious Member Yönetici
 

Tamam bak şimdi çok güzel oldu, olayı anlattın. Burada bu doğal bir şey, yani SSO sunuyor çünkü aksi halde senin kullanıcıların ad şifresi ayrı, bu web sitesi şifresi ayrı, belki wireesll ayrı olacağı için kullanıcı deneyimi düşer. Gelelim bunu istemiyor olabilirsin çünkü bunu verdiğin anda aslında herkesin ad şifresi bu sistem üzerinden geçeceğinden çok riskli bir durum. Eğer böyle bir gizlilik, mimari tasarım, güven ilişkisiniz yok ise zaten asıl soru sizin bunu lanse ederkendi tavrınız. Diyelim ki bu yemek portalı olsun, insanlar sonuçta bu web sitesini, hizmetini kimden öğreniyor? IT' den, sen eğer bu portal için kullanıcı adınız şifreniz şı olmalı, buradan almalısınız kesinlikle AD şifrenizi vermeyi demediyseniz yapacak bir şey yok. Ama bu işin doğrusu AD ile entegre çaışması sadece şirketi onboard ederken daha dikkatli olmanız gerekli.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 01/03/2024 14:14

(@sukruozdemir)
Gönderiler: 126
Estimable Member
Konu başlatıcı
 

@hakanuzuner 

Cevabınız bilgi verici oldu Hocam teşekkür ederim.

 
Gönderildi : 01/03/2024 15:40

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33311
Illustrious Member Yönetici
 

Rica ederim.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 01/03/2024 18:03

Paylaş: