Az - Azure Network

Leer AWS hak vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Basiese Inligting

Netwerke binne Azure funksioneer as 'n integrale deel van sy wolkrekenaarplatform, wat die verbindings en kommunikasie tussen verskeie Azure-diens en bronne moontlik maak. Die netwerkargitektuur in Azure is ontwerp om hoogs skaalbaar, veilig en aanpasbaar te wees.

In die kern bied Azure 'n virtuele netwerk (VNet) wat gebruikers in staat stel om geïsoleerde netwerke binne die Azure-wolk te skep. Binne hierdie VNets kan bronne soos virtuele masjiene, toepassings en databasisse veilig gehuisves en bestuur word. Die netwerking in Azure ondersteun beide die kommunikasie binne die wolk (tussen Azure-diens) en die koppeling na eksterne netwerke en die internet.

Sekuriteit is 'n kritieke aspek van Azure-netwerke, met verskeie gereedskap en dienste beskikbaar vir die beskerming van data, die bestuur van toegang en die versekering van nakoming. Hierdie sekuriteitsmaatreëls sluit vuurmuure, netwerksekuriteitsgroepe en versleuteling-vermoëns in, wat 'n hoë vlak van beheer oor verkeer en toegang moontlik maak.

Oor die algemeen is die netwerkkapasiteite van Azure ontwerp om buigsaamheid te bied, sodat gebruikers 'n netwerkomgewing kan skep wat voldoen aan hul spesifieke toepassing- en werklasbehoeftes terwyl daar 'n sterk klem gelê word op sekuriteit en betroubaarheid.

Virtuele Netwerk (VNET) & Subnetwerke

'n VNet in Azure is in wese 'n voorstelling van jou eie netwerk in die wolk. Dit is 'n logiese isolasie van die Azure-wolk toegewy aan jou inskrywing. 'n VNet stel jou in staat om virtuele privaat netwerke (VPNs) in Azure te voorsien en te bestuur en kan gebruik word om verskeie tipes Azure-bronne te huisves en te bestuur, soos Virtuele Masjiene (VM's), databasisse en toepassingsdiens.

VNets bied jou volle beheer oor jou netwerkinstellings, insluitend IP-adres-reeks, subnet-skepping, roetetabelle en netwerkgateways.

'n Subnet is 'n reeks IP-adresse in jou VNet. Jy kan 'n VNet in meerdere subnets verdeel vir organisasie en sekuriteit. Elke subnet in 'n VNet kan gebruik word om bronne te isoleer en te groepeer volgens jou netwerk- en toepassingsargitektuur.

Verder stel subnets jou in staat om jou VNet in een of meer sub-netwerke te segmenteer, wat 'n reeks IP-adresse bied wat bronne kan gebruik.

Voorbeeld

  • Stel jy het 'n VNet genaamd MyVNet met 'n IP-adresreeks van 10.0.0.0/16. Jy kan 'n subnet binne hierdie VNet skep, sê Subnet-1, met 'n IP-adresreeks van 10.0.0.0/24 vir die huisves van jou webbedieners. 'n Ander subnet, Subnet-2 met 'n reeks van 10.0.1.0/24, kan gebruik word vir jou databasisbedieners. Hierdie segmentering maak doeltreffende bestuur en sekuriteitsbeheer binne die netwerk moontlik.

Enumerasie

Om al die VNets en subnets in 'n Azure-rekening te lys, kan jy die Azure-opdraggelyn-inferface (CLI) gebruik. Hier is die stappe:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

Netwerk Sekuriteitsgroepe (NSG)

In Azure dien 'n Netwerk Sekuriteitsgroep (NSG) die primêre funksie van die filter van netwerkverkeer na en vanaf Azure-bronne binne 'n Azure Virtuele Netwerk (VNet). Dit bevat 'n stel sekuriteitsreëls wat noukeurig die vloei van netwerkverkeer bepaal.

Belangrike aspekte van NSG sluit in:

  • Verkeersbeheer: Elke NSG bevat reëls wat instrumenteel is om inkomende en uitgaande netwerkverkeer wat verband hou met verskeie Azure-bronne toe te laat of te belemmer.

  • Reëlkomponente: Die reëls binne 'n NSG is baie spesifiek en filter verkeer op grond van kriteria soos bron-/bestemmings-IP-adres, poort, en protokol. Hierdie spesifisiteit maak dit moontlik om netwerkverkeer fynmazig te bestuur.

  • Sekuriteitsverbetering: Deur te verseker dat slegs gemagtigde verkeer jou Azure-bronne kan betree of verlaat, speel NSG's 'n kritieke rol in die versterking van die sekuriteitspostuur van jou netwerkinfrastruktuur.

Voorbeeld

  • Stel jou het 'n NSG met die naam MyNSG wat toegepas word op 'n subnet of 'n spesifieke virtuele masjien binne jou VNet. Jy kan reëls soos die volgende skep:

  • 'n Inkomende reël wat HTTP-verkeer (poort 80) van enige bron na jou webbediener toelaat.

  • 'n Uitgaande reël wat slegs SQL-verkeer (poort 1433) na 'n spesifieke bestemmings-IP-adresreeks toelaat.

Enumerasie

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

Azure Firewall

Azure Firewall is 'n bestuurde, wolk-gebaseerde netwerksekuriteitsdiens wat jou Azure Virtuele Netwerkbronne beskerm. Dit is 'n ten volle staatlike firewall as 'n diens met ingeboude hoë beskikbaarheid en skaalbaarheidskenmerke.

Azure Firewall bied meer gevorderde kenmerke as NSGs, insluitend toepassingsvlakfiltering, netwerkvlakfiltering, dreigingsintelligensie-gebaseerde filtering, en integrasie met Azure Monitor vir loggings en analise. Dit kan uitgaande, inkomende, spreek-na-spreek, VPN, en ExpressRoute-verkeer filter. Firewall-reëls kan geskep word op grond van FQDN (Fully Qualified Domain Name), IP-adresse, en poorte.

Verskille tussen Azure Firewall en NSGs

  1. Omvang:

  • NSG: Werk op subnet- of netwerkinterfasevlak. Dit is bedoel om basiese filter van inkomende en uitgaande verkeer van netwerkinterfase (NIC), VM's, of subnets te voorsien.

  • Azure Firewall: Werk op die VNet-vlak, wat 'n wyer beskermingsomvang bied. Dit is ontwerp om jou virtuele netwerkbronne te beveilig en die vloei van verkeer in en uit die VNet te bestuur.

  1. Vermoeëns:

  • NSG: Voorsien basiese filtervermoëns gebaseer op IP-adres, poort, en protokol. Dit ondersteun nie gevorderde kenmerke soos toepassingsvlak-inspeksie of dreigingsintelligensie nie.

  • Azure Firewall: Bied gevorderde kenmerke soos toepassingsvlak (Laag 7) verkeersfiltering, dreigingsintelligensie-gebaseerde filtering, netwerkverkeersfiltering, en meer. Dit ondersteun ook verskeie openbare IP-adresse.

  1. Gebruiksfases:

  • NSG: Ideaal vir basiese netwerkvlakverkeersfiltering.

  • Azure Firewall: Geskik vir meer komplekse filter scenarios waar toepassingsvlakbeheer, loggings, en dreigingsintelligensie benodig word.

  1. Bestuur en Monitering:

  • NSG: Bied basiese loggings en integrasie met Azure Monitor.

  • Azure Firewall: Verskaf gevorderde loggings en analitiese vermoëns deur Azure Monitor, wat noodsaaklik is vir die begrip van die aard en patroon van die verkeer.

Opsomming

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

Azure Roete Tabelle & Gebruiker Gedefinieerde Roetes (UDR)

Azure Roete Tabelle is 'n kenmerk binne Microsoft Azure wat die beheer van netwerkverkeer roetes binne Azure Virtuele Netwerke (VNets) moontlik maak. Essensieel definieer hulle hoe pakkies tussen subnets binne VNets, tussen VNets, of na eksterne netwerke gestuur word. Elke roete tabel bevat 'n stel reëls, bekend as roetes, wat spesifiseer hoe pakkies gestuur moet word gebaseer op hul bestemmings IP-adresse.

Gebruiker Gedefinieerde Roetes (UDR) in Azure is aangepaste roetes wat jy binne Azure Roete Tabelle skep om die vloei van netwerkverkeer binne en tussen Azure Virtuele Netwerke (VNets), en na eksterne verbindinge te beheer. UDRs gee jou die buigsaamheid om netwerkverkeer te rig volgens jou spesifieke vereistes, waardeur Azure se verstek roete besluite oorskryf word.

Hierdie roetes is veral nuttig vir scenario's waar jy netwerkverkeer deur 'n virtuele toestel moet roeteer, 'n spesifieke pad vir sekuriteit of beleidsnakoming moet afdwing, of moet integreer met plaaslike netwerke.

Voorbeeld

  • Stel jy het 'n Netwerk Virtuele Toestel (NVA) geïmplementeer om verkeer tussen subnets binne 'n VNet te inspekteer. Jy kan 'n UDR skep wat al die verkeer van een subnet na 'n ander subnet rig om deur die NVA te gaan. Hierdie UDR verseker dat die NVA die verkeer vir sekuriteitsdoeleindes inspekteer voordat dit sy bestemming bereik.

Opsomming

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List UDRs for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

Azure Private Link is 'n diens in Azure wat privaat toegang tot Azure dienste moontlik maak deur te verseker dat verkeer tussen jou Azure virtuele netwerk (VNet) en die diens heeltemal binne Microsoft se Azure ruggraatnetwerk plaasvind. Dit bring die diens effektief in jou VNet. Hierdie opstelling verbeter sekuriteit deur die data nie aan die openbare internet bloot te stel nie.

Private Link kan gebruik word met verskeie Azure dienste, soos Azure Storage, Azure SQL Database, en aangepaste dienste wat gedeel word via Private Link. Dit bied 'n veilige manier om dienste te verbruik van binne jou eie VNet of selfs vanuit verskillende Azure intekeninge.

NSG's is nie van toepassing op private eindpunte nie, wat duidelik beteken dat die assosiasie van 'n NSG met 'n subnet wat die Private Link bevat, geen effek sal hê nie.

Voorbeeld

  • Oorweeg 'n scenario waar jy 'n Azure SQL Database het wat jy veilig vanuit jou VNet wil benader. Normaalweg mag dit die openbare internet betrek. Met Private Link kan jy 'n privaat eindpunt in jou VNet skep wat direk met die Azure SQL Database-diens verbind. Hierdie eindpunt laat die databasis voorkom asof dit deel is van jou eie VNet, toeganklik via 'n privaat IP-adres, wat sodoende sekere en private toegang verseker.

Opsomming

# List Private Link Services
z network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

Verskille Tussen Diens-eindpunte en Privaat Skakels

Microsoft beveel aan om Privaat Skakels te gebruik in die dokumentasie:\

Dienste-eindpunte:

  • Verkeer vanaf jou VNet na die Azure-diens reis oor die Microsoft Azure ruggraatnetwerk en vermy die openbare internet.

  • Die eindpunt is 'n direkte verbinding met die Azure-diens en verskaf nie 'n privaat IP vir die diens binne die VNet nie.

  • Die diens self is nog steeds toeganklik via sy openbare eindpunt van buite jou VNet tensy jy die diens se vuurwal konfigureer om sulke verkeer te blokkeer.

  • Dit is 'n een-tot-een verhouding tussen die subnet en die Azure-diens.

  • Goedkoper as Privaat Skakels.

Privaat Skakels:

  • Privaat Skakel karteer Azure-diens na jou VNet via 'n privaat eindpunt, wat 'n netwerkinterface met 'n privaat IP-adres binne jou VNet is.

  • Die Azure-diens word benader deur hierdie privaat IP-adres te gebruik, wat dit laat lyk asof dit deel is van jou netwerk.

  • Dienste wat via Privaat Skakel gekoppel is, kan slegs vanaf jou VNet of gekoppelde netwerke benader word; daar is geen openbare internettoegang tot die diens nie.

  • Dit maak 'n veilige verbinding met Azure-diens of jou eie dienste wat in Azure gehuisves word, asook 'n verbinding met dienste wat deur ander gedeel word, moontlik.

  • Dit bied meer fynkorrelige toegangsbeheer via 'n privaat eindpunt in jou VNet, in teenstelling met breër toegangsbeheer op subnetvlak met dienste-eindpunte.

Kortom, terwyl beide Diens-eindpunte en Privaat Skakels veilige konnektiwiteit na Azure-diens verskaf, bied Privaat Skakels 'n hoër vlak van isolasie en sekuriteit deur te verseker dat dienste privaat benader word sonder om hulle aan die openbare internet bloot te stel. Diens-eindpunte daarenteen is makliker om op te stel vir algemene gevalle waar eenvoudige, veilige toegang tot Azure-diens benodig word sonder die behoefte aan 'n privaat IP in die VNet.

Azure Front Door (AFD) & AFD WAF

Azure Front Door is 'n skaalbare en veilige toegangspunt vir vinnige aflewering van jou globale webtoepassings. Dit kombineer verskeie dienste soos globale ladingbalansering, webversnelling, SSL-ontlasting, en Webtoepassingsvuurwal (WAF)-vermoëns in 'n enkele diens. Azure Front Door bied intelligente roetebepaling gebaseer op die nabyste randlokasie tot die gebruiker, wat optimale prestasie en betroubaarheid verseker. Daarbenewens bied dit URL-gebaseerde roetebepaling, meervoudige webwerf-aanbieding, sessie-affiniteit, en toepassingslaag-sekuriteit.

Azure Front Door WAF is ontwerp om webtoepassings teen webgebaseerde aanvalle te beskerm sonder wysiging aan agterste kode. Dit sluit aanpasbare reëls en bestuurde reëlreeks in om te beskerm teen bedreigings soos SQL-inspuiting, kruisskripsing, en ander algemene aanvalle.

Voorbeeld

  • Stel jou het 'n wêreldwyd verspreide toepassing met gebruikers regoor die wêreld. Jy kan Azure Front Door gebruik om gebruikersversoeke na die naaste streekdata-sentrum wat jou toepassing huisves, te roeteer, wat sodoende latensie verminder, gebruikerervaring verbeter en dit teen webaanvalle beskerm met die WAF-vermoëns. As 'n spesifieke streek afbreek ervaar, kan Azure Front Door outomaties verkeer na die volgende beste lokasie herroeteer om hoë beskikbaarheid te verseker.

Enumerasie

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Azure-toepassingshek en Azure-toepassingshek WAF

Azure-toepassingshek is 'n webverkeer-laaibalansierder wat jou in staat stel om verkeer na jou webtoepassings te bestuur. Dit bied Laag 7-laaibalansering, SSL-beëindiging, en webtoepassingsmuur (WAF) vermoëns in die Toepassingsafleweringskontroleerder (ADC) as 'n diens. Sleutelkenmerke sluit URL-gebaseerde roetes, koekiegebaseerde sessie-affiniteit, en veilige sokkellaag (SSL) afgelading in, wat noodsaaklik is vir toepassings wat komplekse laaibalanseringvermoëns soos globale roetes en padgebaseerde roetes benodig.

Voorbeeld

  • Oorweeg 'n scenario waar jy 'n e-handelswebwerf het wat verskeie subdomeine vir verskillende funksies insluit, soos gebruikersrekeninge en betalingsverwerking. Azure-toepassingshek kan verkeer na die toepaslike webbediener stuur op grond van die URL-pad. Byvoorbeeld, verkeer na voorbeeld.com/rekeninge kan na die gebruikersrekeningsdiens gestuur word, en verkeer na voorbeeld.com/betaal kan na die betalingsverwerkingsdiens gestuur word. En beskerm jou webwerf teen aanvalle deur die WAF-vermoëns te gebruik.

Opsomming

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

Azure Hub, Spoke & VNet Peering

VNet Peering is 'n netwerkfunksie in Azure wat verskillende Virtuele Netwerke (VNets) toelaat om direk en vlot met mekaar verbind te word. Deur VNet-peering kan bronne in een VNet kommunikeer met bronne in 'n ander VNet deur privaat IP-adresse te gebruik, asof hulle in dieselfde netwerk is. VNet Peering kan ook gebruik word met 'n on-prem-netwerke deur 'n site-to-site VPN of Azure ExpressRoute op te stel.

Azure Hub en Spoke is 'n netwerktopologie wat in Azure gebruik word om netwerkverkeer te bestuur en te organiseer. Die "hub" is 'n sentrale punt wat verkeer tussen verskillende "spokes" beheer en roeteer. Die hub bevat tipies gedeelde dienste soos netwerk virtuele toestelle (NVAs), Azure VPN Gateway, Azure Firewall, of Azure Bastion. Die "spokes" is VNets wat werklaste huisves en met die hub verbind deur VNet-peering te gebruik, wat hulle in staat stel om die gedeelde dienste binne die hub te benut. Hierdie model bevorder 'n skoon netwerk uitleg, verminder kompleksiteit deur die sentralisering van algemene dienste wat deur verskeie werklaste oor verskillende VNets gebruik kan word.

VNET-paar is nie-transitief in Azure nie, wat beteken dat as spoke 1 met spoke 2 verbind is en spoke 2 met spoke 3 verbind is, kan spoke 1 nie direk met spoke 3 praat nie.

Voorbeelde

  • Stel jou 'n maatskappy voor met aparte departemente soos Verkope, HR, en Ontwikkeling, elk met sy eie VNet (die spokes). Hierdie VNets benodig toegang tot gedeelde bronne soos 'n sentrale databasis, 'n firewall, en 'n internetgateway, wat almal geleë is in 'n ander VNet (die hub). Deur die gebruik van die Hub en Spoke-model kan elke departement veilig verbind met die gedeelde bronne deur die hub VNet sonder om daardie bronne aan die openbare internet bloot te stel of 'n komplekse netwerkstruktuur met talle verbindings te skep.

Opsomming

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

Site-to-Site VPN

'n Site-to-Site VPN in Azure stel jou in staat om jou plaaslike netwerk te koppel aan jou Azure Virtuele Netwerk (VNet), wat hulpbronne soos VM's binne Azure laat voorkom asof hulle op jou plaaslike netwerk is. Hierdie verbinding word tot stand gebring deur 'n VPN-hek wat verkeer tussen die twee netwerke versleutel.

Voorbeeld

  • 'n Besigheid met sy hoofkantoor in New York het 'n plaaslike data sentrum wat veilig moet koppel aan sy VNet in Azure, wat sy gevirtualiseerde werklade huisves. Deur 'n Site-to-Site VPN op te stel, kan die maatskappy verseker dat versleutelde konnektiwiteit tussen die plaaslike bedieners en die Azure VM's daar is, wat hulpbronne toelaat om veilig oor beide omgewings toegang te verkry asof hulle in dieselfde plaaslike netwerk was.

Opsomming

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

Azure ExpressRoute

Azure ExpressRoute is 'n diens wat 'n privaat, toegewyde, hoëspoedverbinding tussen jou plaaslike infrastruktuur en Azure data sentrums bied. Hierdie verbinding word deur 'n konnektiwiteitsverskaffer gemaak, wat die openbare internet omseil en meer betroubaarheid, vinniger spoed, laer latensie en hoër sekuriteit as tipiese internetverbindinge bied.

Voorbeeld

  • 'n Multinasionale maatskappy benodig 'n konstante en betroubare verbinding met sy Azure dienste as gevolg van die hoë volume data en die behoefte aan hoë deurbraak. Die maatskappy kies vir Azure ExpressRoute om sy plaaslike data sentrum direk met Azure te verbind, wat groot-skaalse data-oordragte, soos daaglikse rugsteune en werklike tyd data-analise, met verbeterde privaatheid en spoed fasiliteer.

Opsomming

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table
Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Last updated