GCP - VPC & Networking
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
VPCs bevat Firewall reëls om inkomende verkeer na die VPC toe te laat. VPCs bevat ook subnetwerke waar virtuele masjiene gaan verbinde. In vergelyking met AWS, sou Firewall die nabyste ding wees aan AWS Security Groups en NACLs, maar in hierdie geval is dit gedefinieer in die VPC en nie in elke instansie nie.
Compute Instances is verbind aan subnetwerke wat deel is van VPCs (Virtual Private Clouds). In GCP is daar nie sekuriteitsgroepe nie, daar is VPC firewalls met reëls wat op hierdie netwerkvlak gedefinieer is, maar toegepas op elke VM Instansie.
'n VPC kan verskeie subnetwerke hê. Elke subnetwork is in 1 streek.
Standaard het elke netwerk twee implisiete firewall reëls: toelaat uitgaande en weier inkomende.
Wanneer 'n GCP-projek geskep word, word 'n VPC genaamd default ook geskep, met die volgende firewall reëls:
default-allow-internal: laat alle verkeer van ander instansies op die default netwerk toe
default-allow-ssh: laat 22 van oral toe
default-allow-rdp: laat 3389 van oral toe
default-allow-icmp: laat ping van oral toe
Soos jy kan sien, neig firewall reëls om meer toelaatbaar te wees vir interne IP adresse. Die standaard VPC laat alle verkeer tussen Compute Instances toe.
Meer Firewall reëls kan geskep word vir die standaard VPC of vir nuwe VPCs. Firewall reëls kan op instansies toegepas word deur die volgende metodes:
Alle instansies binne 'n VPC
Ongelukkig is daar nie 'n eenvoudige gcloud opdrag om al die Compute Instances met oop poorte op die internet uit te spit nie. Jy moet die punte tussen firewall reëls, netwerk etikette, diens rekeninge, en instansies verbind.
Hierdie proses is geoutomatiseer met behulp van hierdie python skrip wat die volgende sal uitvoer:
CSV-lêer wat instansie, publieke IP, toegelate TCP, toegelate UDP toon
nmap skandering om al die instansies op poorte in te teiken wat toegelaat word vanaf die publieke internet (0.0.0.0/0)
masscan om die volle TCP-reeks van daardie instansies te teiken wat ALLE TCP-poorte van die publieke internet toelaat (0.0.0.0/0)
Hiërargiese firewall beleide laat jou toe om 'n konsekwente firewall beleid oor jou organisasie te skep en af te dwing. Jy kan hiërargiese firewall beleide aan die organisasie as 'n geheel of aan individuele mappen toewys. Hierdie beleide bevat reëls wat eksplisiet verbindings kan weier of toelaat.
Jy skep en pas firewall beleide toe as aparte stappe. Jy kan firewall beleide skep en toepas op die organisasie of map knooppunte van die hulpbron hiërargie. 'n Firewall beleid reël kan verbinding blokkeer, verbinding toelaat, of firewall reël evaluering uitstel na laer vlakke van mappen of VPC firewall reëls wat in VPC-netwerke gedefinieer is.
Standaard geld alle hiërargiese firewall beleid reëls vir alle VM's in alle projekte onder die organisasie of map waar die beleid geassosieer is. Jy kan egter beperk watter VM's 'n gegewe reël kry deur teiken netwerke of teiken diens rekeninge spesifiseer.
Jy kan hier lees hoe om 'n Hiërargiese Firewall Beleid te skep.
Organisasie: Firewall beleide toegewy aan die Organisasie
Map: Firewall beleide toegewy aan die Map
VPC: Firewall reëls toegewy aan die VPC
Globaal: 'n Ander tipe firewall reëls wat aan VPCs toegewy kan word
Streek: Firewall reëls geassosieer met die VPC netwerk van die VM se NIC en streek van die VM.
Laat toe om twee Virtuele Privaat Wolk (VPC) netwerke te verbind sodat hulpbronne in elke netwerk met mekaar kan kommunikeer. Gepaarde VPC-netwerke kan in dieselfde projek wees, verskillende projekte van dieselfde organisasie, of verskillende projekte van verskillende organisasies.
Hierdie is die nodige toestemmings:
compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
