Microsoft Ortamında Aktif Dizin Güven İlişkileri

0
450
views
Kurumlarda farklı etki alanları arasında bilgi ve kaynak paylaşımı gerçekleştirmek, birden farklı etki alanını merkezi olarak yönetmek, şirket evlilikleri / birleşmeleri sebebi ile etki alanlarını yönetilebilir bir çatı altında toplamak için güven ilişkisi kurulma ihtiyacı olabilir. Bu yazıda güven ilişkileri incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Güven ilişkisi kurulması ile kaynak paylaşımı sağlanır, farklı bir etki alanındaki kullanıcının kimlik doğrulaması için geçen süre ve kaynak gereksinimi azalır, yönetim kolaylığı sağlanmaktadır.

Uyarı: Günümüzde Microsoft tarafından sunulan Federasyon yapısı bulunmaktadır. Bu sebeple harici (external) güven ilişkileri yerine Federasyon kurulması tavsiye edilmektedir.

Güven ilişkisinde; güven yönü ve erişim yönünün birbiri ile ters olduğu göz önünde bulundurulmalıdır. Güvenen (trusting) etki alanı kaynaklarını açan etki alanını; güvenilen (trusted) etki alanı ise kaynaklara erişim sağlayacak kullanıcıları içeren tarafı etki alanını temsil eder.

Oluşturulan güven ilişkilerinde trafiğin güvenliği için VPN veya IPSec kullanılması tavsiye edilmektedir.

 

1) Güven Çeşitleri

Windows Server 2008 üzerinde kurulabilecek güven ilişkileri geçişliliğine, yönüne ve türüne göre gruplandırılabilir.

 

1.1) Geçişine Göre Güven İlişkileri

Güven ilişkileri geçişliliğine göre ikiye ayrılabilir:

  • Transitive (Geçişli): Zincir halinde gerçekleşen güven yapısıdır. A ve B etki alanları kendi arasında, B ve C etki alanları kendi arasında birbirlerine güvendiği durumlarda geçişli güven ilişkisi varsa, A ve C arasında da bir güven ilişkisi oluşmuş olur.
  • Non-transitive (Geçişsiz): Bu güven türünde güven ilişkisi iletilemez. A ve B etki alanları kendi arasında, B ve C etki alanları kendi arasında birbirlerine güvendiği durumlarda Geçişsiz Güven ilişkisi varsa, A ve C arasında bir güven ilişkisi oluşmaz. Bu ilişkinin oluşması için A ve C arasında bir güven ilişkisinin kurulması gerekmektedir. Geçişsiz güven ilişkilerinin kurulması daha güvenlidir.

 

1.2) Yönüne Göre Güven İlişkileri

Güven ilişkileri yönüne göre ikiye ayrılabilir:

  • One-way (Tek yönlü): Güvenilen etki alanı, güven duyan etki alanın kaynaklarına erişebildiği güven türüdür.
  • Two-way (Çift-yönlü): Güvenilen ve güven duyan etki alanlarının birbirlerinin kaynaklarına eriştiği güven türüdür.

 

1.3) Türüne Göre Güven İlişkileri

Güven ilişkileri türüne göre altıya ayrılabilir. Türüne göre güven ilişkileri aşağıdaki şekilde gösterildiği gibidir.

Şekil - 1: Türüne Göre Güven İlişkileri
Şekil – 1: Türüne Göre Güven İlişkileri

 

  • Parent-Child: Bir ağaç içerisinde yeni bir etki alanı oluştuğunda otomatik olarak kurulan güven ilişkisidir. Geçişli ve iki yönlü bir güven oluşturulur. Taraflar arasında Genel Katalog ile Aktif Dizin veritabanının şema ve konfigürasyon bölümleri ortak olarak kullanılır, replike edilir.
  • Tree-Root: Bir orman içerisinde yeni bir ağaç eklendiğinde otomatik olarak kurulan güven ilişkisidir. Geçişli ve iki yönlü bir güven oluşturulur. Taraflar arasında Genel Katalog ile Aktif Dizin veritabanının şema ve konfigürasyon bölümleri ortak olarak kullanılır, replike edilir.
  • External (Dış): Birbirinden farklı 2 orman içerisindeki (kök olmayan) etki alanları arasında manuel olarak oluşturulur. Geçişsiz ve bir / iki yönlü bir güven oluşturulur. Genelde NT4 etki alanları ile kurulacak olan güven ilişkisi için oluşturulur. NT 4.0 etki alanları ile başka türde bir güven ilişkisi kuramaz. Dış güven ilişkileri el (manuel) olarak oluşturulur, otomatik oluşmaz. NTLM ile kimlik doğrulaması gerçekleştirilir, Kerberos kullanılamaz. Ortak olarak Genel Katalog ile Aktif Dizin veritabanının şema ve konfigürasyon bölümlerini kullanmazlar. Güven ilişkisi kuran farklı ormanlardaki etki alanları, kendi veritabanlarını kullanırlar.
  • Forest (Orman): Birbirinden farklı 2 orman içerisindeki kök etki alanları arasında manuel olarak oluşturulur. Geçişli ve bir / iki yönlü bir güven oluşturulur. Şirket evliliklerinde veya etki alanı taşınması durumlarında genellikle orman güveni oluşturulur. SID filtreleme otomatik olarak etkin durumda olmasının yanında, Seçmeli Kimlik Doğrulama (Selective Authentication) otomatik olarak etkin gelmemektedir. Ayrıca, Kerberos bilet delegasyonu gerçekleştirilmemektedir.
  • Shortcut (Kısa yol): Aynı orman içerisinde farklı ağaç üzerinde bulunan etki alanları arasında manuel olarak oluşturulur. Geçişli ve bir / iki yönlü bir güven oluşturulur. Büyük ve karmaşık bir ortamda güven yolunu kısaltmak, kimlik doğrulama süresini geliştirmek / azaltmak, performansı arttırmak için kullanılır.
  • Realm (Erişim Alanı): Windows olmayan ve Kerberos V5 kimlik doğrulama metodunu kullanan bir etki alanı ile Microsoft AD arasında manuel olarak oluşturulan güven ilişkisidir. Geçişli / geçişsiz ve bir / iki yönlü bir güven oluşturulur.

Güven ilişki türlerinin birbirlerine göre durumları aşağıdaki tablodaki gibidir.

Güven Tipi Güven Geçişliliği Güven Yönü
Parent – Child Geçişli İki yönlü
Tree – Root Geçişli İki yönlü
Dış Geçişsiz Bir veya İki yönlü
Orman Geçişli Bir veya İki yönlü
Kısayol Geçişli Bir veya İki yönlü
Erişim Alanı Geçişli veya Geçişsiz Bir veya İki yönlü

Tablo – 1: Güven İlişkileri

Özetle aynı ormandaki güven ilişkileri geçişli ve iki yönlüdür. Bu sebeple, orman içerisindeki tüm etki alanları birbirine güvenir.

 

 

2) SID Tarihçesi ve SID Filtreleme

Dış (External) güven ilişkilerinde kullanıcı veya grup hesaplarının bir etki alanından diğer etki alanına taşınması (migrasyonu) gerekebilmektedir. Taşınma sırasında, taşınan hesabın SID değeri, yeni hesabın SID değeri ile aynı olmayacaktır ve SID değeri değiştiği için taşınan etki alanındaki hesap, taşıma işleminin yapıldığı etki alanında daha önceden erişebildiği kaynaklara erişemeyecektir. Bunun önüne geçmek için hesapların taşınması sırasında yeni hesabın SIDHistory özelliğine (attribute), eski hesabın SID değeri eklenir. Böylece yeni kullanıcı taşıma işleminin başlatıldığı etki alanındaki kaynaklara erişebilecektir.

Ancak bu durum tavsiye edilmemekte ve taşınan kullanıcının eriştiği tüm (gerekli) kaynaklara yeni hesabın SID değerinin eklenmesi tavsiye edilmektedir. Eğer güven ilişkisi kurulan etki alanının yöneticisi veya yönetici seviyesinde erişim hakkı olan bir kullanıcı kötü niyetli ise, ağ dinlenerek (sniff) taşınan kullanıcının eski SID değeri elde edilebilir. Taşınan kullanıcı, taşındığı etki alanındaki kaynaklara erişmek için o etki alanında kimlik doğrulaması yapmak için eski SID değerini de yollar. Bu durumda kötü niyetli bir kullanıcı bu SID değerini kendi etki alanında oluşturduğu yeni bir kullanıcıya verirse, o kullanıcı da taşınan hesabın eriştiği ilk etki alanındaki kaynaklara erişmiş olur. Bu sebeple, taşıma işleminin başlatıldığı etki alanında SID filtrelemesinin yapılması tavsiye edilmektedir.

Not: Aynı orman içerisinde SID Filtreleme etkin değildir. Etkinleştirilmesi durumunda birçok problemle karşılaşılabilir. Örneğin, replikasyon gerçekleşmeyebilir, Universal güvenlik grupları kullanılamayabilir, Exchange sunucusunda problemler yaşanabilir, geçişli güven ilişkisi çalışmayabilir.

Güven duyulan bir sistem / ağ yapısı olduğu sürece SID filtrelemenin yapılmasına da gerek bulunmamaktadır. Bu sebeple SID filtreleme devre dışı da bırakılabilir. Ancak, bu durum tavsiye edilmemektedir.

 

3) Selective Authentication (Seçmeli Kimlik Doğrulama)

Etki alanlarındaki kaynaklara erişimler genellikle kimliğini doğrulamış kullanıcılar için etkindir. Yani Authenticated Users grubundaki hesaplar (bu da neredeyse etki alanındaki her kullanıcı demek oluyor) etki alanındaki her kaynağa erişebilir. Buna benzer olarak farklı ormanlardaki etki alanları arasında bir güven ilişkisi kurulduktan sonra, bir etki alanındaki kullanıcı, diğer etki alanındaki bir kaynağa erişebilir. Bu da bazı durumlar için pek istenmeyen bir durumdur. Bunun önüne geçmek için Seçmeli Kimlik Doğrulama özelliği getirilmiştir. Böylece dosya sunucuları, mail sunucuları gibi bazı kritik kaynaklara erişimler diğer ormandaki etki alanı içinde bulunan bazı kullanıcı veya gruplara verilebilir. Dış ormanlar ile yapılacak güven ilişkilerinde bu şekilde bir ayarlamanın yapılması ve yapılan işlemlerin kayıt altına alınıp, takibinin sağlanması tavsiye edilmektedir.

 

4) Güven İlişkilerinde Kerberos

Kerberos ile kimlik doğrulama ile ilgili detaylı bilgi için kaynaklardaki Siberportal yazısı incelenebilir.

 

 

 

Kaynaklar:

https://blogs.msmvps.com/acefekay/2016/11/02/active-directory-trusts

Microsoft Ortamında Kerberos Ile Kimlik Doğrulama

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.