CAPTCHA

Captcha koruması, kimlik doğrulama sırasında kullanıcıların görsel veya etkileşimli zorlukları çözmelerini gerektirerek otomatik saldırıları ve botları önlemeye yardımcı olur. Bu, kaba kuvvet saldırılarına karşı ekstra bir güvenlik katmanı ekler.

CAPTCHA Nedir?

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), bilgisayarların otomatik olarak çözemeyeceği ancak insanların kolayca çözebileceği testlerdir.

CAPTCHA Profilleri

---

Yapılandırma Seçenekleri

Profil Adı

Captcha profili için açıklayıcı bir isim girin (örn: "Giriş Sayfası CAPTCHA", "VPN Erişimi Bot Koruması").

Captcha Türü

SecTrail MFA iki farklı CAPTCHA türünü destekler:

1. SecTrail Captcha

• ✅ Kendi sunucusunda barındırılan
• ✅ Harici bağımlılık yok
• ✅ Özelleştirilebilir görünüm
• ✅ İnternet bağlantısı gerektirmez

2. Google reCAPTCHA

• ✅ Gelişmiş bot algılama
• ✅ v2 ve v3 desteği
• ❌ İnternet bağlantısı gerektirir
• ❌ Google hesabı ve API anahtarları gereklidir

Tetikleme Koşulları

Her Zaman Captcha Göster

Etkinleştirilirse, her giriş denemesinde captcha gösterilir (maksimum güvenlik).

Kullanıcı Adı Başarısızlık Sayısı

Aynı kullanıcı adı için bu kadar başarısız denemeden sonra captcha göster.

Örnek: 3 → Aynı kullanıcı adıyla 3 başarısız denemeden sonra CAPTCHA zorunlu hale gelir.

IP Başarısızlık Sayısı

Aynı IP adresinden bu kadar başarısız denemeden sonra captcha göster.

Örnek: 5 → Aynı IP'den 5 başarısız denemeden sonra CAPTCHA zorunlu hale gelir.

---

Google reCAPTCHA Entegrasyonu

Önemli Gereksinim

Google reCAPTCHA kullanmak adına sunucunun, Google'ın reCAPTCHA servisi ile iletişim kurmak için internet erişimine sahip olması gerekir. Güvenlik duvarınızın Google servislerine giden HTTPS bağlantılarına izin verdiğinden emin olun.

Gerekli Erişim

SecTrail MFA sunucusundan Google servislerine tek taraflı (çıkış yönlü) erişim gereklidir:

Hedef Domain	Port	Protokol	Açıklama
*.google.com	443	HTTPS	Google ana servisleri
*.gstatic.com	443	HTTPS	Google statik içerik servisi
*.recaptcha.net	443	HTTPS	reCAPTCHA servisi
*.googleapis.com	443	HTTPS	Google API servisleri

reCAPTCHA Kurulum Adımları

Adım 1: Google reCAPTCHA Admin Console'a gidin

https://www.google.com/recaptcha/admin

Adım 2: Alan adınızı kaydedin

• Label: SecTrail MFA
• reCAPTCHA type: v2 veya v3 seçin
• Domains: SecTrail MFA alan adınızı ekleyin

Adım 3: Site Key ve Secret Key alın

Site Key: 6LdXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Secret Key: 6LdYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY

Adım 4: SecTrail MFA'ya anahtarları ekleyin

Erişim Kontrolü → CAPTCHA → Yeni Profil Oluştur
    ↓
Captcha Türü: Google reCAPTCHA
Site Key: [Site Key'inizi yapıştırın]
Secret Key: [Secret Key'inizi yapıştırın]

reCAPTCHA Versiyonları

reCAPTCHA v2:

• Kullanıcı görsel zorluk çözer ("Ben robot değilim" checkbox)
• Daha görünür koruma
• Kullanıcı etkileşimi gerektirir

reCAPTCHA v3:

• Arka planda çalışır
• Risk skoru döner (0.0 - 1.0)
• Kullanıcı etkileşimi gerektirmez
• Daha akıcı kullanıcı deneyimi

---

CAPTCHA Doğrulama

1. Zorluk Gösterimi: CAPTCHA görüntülenir (SecTrail veya Google)
2. Kullanıcı Çözümü: Kullanıcı CAPTCHA'yı çözer
3. Doğrulama: Çözüm doğrulanır
4. Erişim Kararı:
   • ✅ Doğru → Giriş işlemi devam eder
   • ❌ Yanlış → "CAPTCHA doğrulaması başarısız" hatası

---

Yapılandırma Örnekleri

Örnek 1: Dengeli Koruma

Yapılandırma:

Profil Adı: Standart Bot Koruması
Captcha Türü: SecTrail Captcha
Her Zaman Captcha Göster: Hayır
Kullanıcı Adı Başarısızlık Sayısı: 3
IP Başarısızlık Sayısı: 5

Sonuç: Aynı kullanıcı adı için 3 başarısız denemeden VEYA aynı IP'den 5 başarısız denemeden sonra captcha gösterilir.

Kullanım Senaryosu:

• Normal kullanıcılar etkilenmez
• Bot saldırıları hızlıca tespit edilir
• Dengeli kullanıcı deneyimi

---

Örnek 2: Maksimum Güvenlik

Yapılandırma:

Profil Adı: Yüksek Güvenlik CAPTCHA
Captcha Türü: Google reCAPTCHA v2
Her Zaman Captcha Göster: Evet
Kullanıcı Adı Başarısızlık Sayısı: -
IP Başarısızlık Sayısı: -

Sonuç: Her giriş denemesi için captcha gereklidir.

Kullanım Senaryosu:

• Kritik sistemler (finansal uygulamalar)
• Yüksek hedefli saldırı riski
• Maksimum bot koruması

---

Sonuç: Kullanıcılar genellikle CAPTCHA görmez, ancak şüpheli aktivitelerde devreye girer.

Kullanım Senaryosu:

• Kullanıcı deneyimi öncelikli
• Düşük-orta risk ortamları
• Arka planda çalışan koruma

---

Hızlı Kurulum Kılavuzu

Adım Adım Kurulum

1. CAPTCHA Profili Oluşturun

Erişim Kontrolü → CAPTCHA → Yeni Profil Oluştur

2. Captcha Türünü Seçin

• SecTrail Captcha (önerilen - kolay kurulum)
• Google reCAPTCHA (gelişmiş koruma)

3. Google reCAPTCHA İçin (Opsiyonel)

• https://www.google.com/recaptcha/admin adresinde kayıt yapın
• Site Anahtarı ve Gizli Anahtarı kopyalayın
• SecTrail MFA'ya ekleyin

4. Tetikleme Koşullarını Yapılandırın

Önerilen Başlangıç Yapılandırması:
- Her Zaman Göster: Hayır
- Kullanıcı Adı Başarısızlık: 3
- IP Başarısızlık: 5

5. Profili Uygulamaya Atayın

Konfigürasyon → Uygulama Seç → CAPTCHA Profili Ata

6. Test Edin

• Başarılı giriş testi (CAPTCHA görmemeli)
• Başarısız deneme testi (eşik sonrası CAPTCHA görmeli)

---

Sorun Giderme

CAPTCHA Görünmüyor

Olası Nedenler:

• CAPTCHA profili uygulamaya atanmamış
• Eşik değerine ulaşılmamış
• JavaScript devre dışı

Çözüm:

1. Profil atamasını kontrol edin
2. Birkaç başarısız deneme yapın
3. Tarayıcı konsolunu kontrol edin

Google reCAPTCHA Çalışmıyor

Olası Nedenler:

• İnternet erişimi yok
• Yanlış API anahtarları
• Alan adı uyuşmazlığı

Çözüm:

1. Sunucu internet bağlantısını test edin:

curl -I https://www.google.com/recaptcha

2. Site Key ve Secret Key'i doğrulayın
3. reCAPTCHA Admin Console'da alan adını kontrol edin

CAPTCHA Her Seferinde Gösteriliyor

Neden: "Her Zaman Captcha Göster" seçeneği aktif

Çözüm: Profil ayarlarından bu seçeneği devre dışı bırakın

---

İlgili Sayfalar

• Kullanıcı Engelleme: Başarısız giriş denemesi politikaları
• IP Engelleme: IP bazlı erişim kontrolü
• İzleme: CAPTCHA loglarını görüntüleme
• Konfigürasyon: CAPTCHA profilini uygulamaya atama