GCP - VPC & Networking
Last updated
Last updated
Leer & oefen AWS Hacking: Leer & oefen GCP Hacking:
VPCs bevat Firewall reëls om inkomende verkeer na die VPC toe te laat. VPCs bevat ook subnetwerke waar virtuele masjiene gaan verbinde. In vergelyking met AWS, sou Firewall die nabyste ding wees aan AWS Security Groups en NACLs, maar in hierdie geval is dit gedefinieer in die VPC en nie in elke instansie nie.
Compute Instances is verbind aan subnetwerke wat deel is van VPCs (). In GCP is daar nie sekuriteitsgroepe nie, daar is met reëls wat op hierdie netwerkvlak gedefinieer is, maar toegepas op elke VM Instansie.
'n VPC kan verskeie subnetwerke hê. Elke subnetwork is in 1 streek.
Standaard het elke netwerk twee : toelaat uitgaande en weier inkomende.
Wanneer 'n GCP-projek geskep word, word 'n VPC genaamd default ook geskep, met die volgende firewall reëls:
default-allow-internal: laat alle verkeer van ander instansies op die default netwerk toe
default-allow-ssh: laat 22 van oral toe
default-allow-rdp: laat 3389 van oral toe
default-allow-icmp: laat ping van oral toe
Soos jy kan sien, neig firewall reëls om meer toelaatbaar te wees vir interne IP adresse. Die standaard VPC laat alle verkeer tussen Compute Instances toe.
Alle instansies binne 'n VPC
Ongelukkig is daar nie 'n eenvoudige gcloud opdrag om al die Compute Instances met oop poorte op die internet uit te spit nie. Jy moet die punte tussen firewall reëls, netwerk etikette, diens rekeninge, en instansies verbind.
CSV-lêer wat instansie, publieke IP, toegelate TCP, toegelate UDP toon
nmap skandering om al die instansies op poorte in te teiken wat toegelaat word vanaf die publieke internet (0.0.0.0/0)
masscan om die volle TCP-reeks van daardie instansies te teiken wat ALLE TCP-poorte van die publieke internet toelaat (0.0.0.0/0)
Hiërargiese firewall beleide laat jou toe om 'n konsekwente firewall beleid oor jou organisasie te skep en af te dwing. Jy kan hiërargiese firewall beleide aan die organisasie as 'n geheel of aan individuele mappen toewys. Hierdie beleide bevat reëls wat eksplisiet verbindings kan weier of toelaat.
Organisasie: Firewall beleide toegewy aan die Organisasie
Map: Firewall beleide toegewy aan die Map
VPC: Firewall reëls toegewy aan die VPC
Globaal: 'n Ander tipe firewall reëls wat aan VPCs toegewy kan word
Streek: Firewall reëls geassosieer met die VPC netwerk van die VM se NIC en streek van die VM.
Laat toe om twee Virtuele Privaat Wolk (VPC) netwerke te verbind sodat hulpbronne in elke netwerk met mekaar kan kommunikeer. Gepaarde VPC-netwerke kan in dieselfde projek wees, verskillende projekte van dieselfde organisasie, of verskillende projekte van verskillende organisasies.
Hierdie is die nodige toestemmings:
compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes
Meer Firewall reëls kan geskep word vir die standaard VPC of vir nuwe VPCs. kan op instansies toegepas word deur die volgende metodes:
Hierdie proses is geoutomatiseer met behulp van wat die volgende sal uitvoer:
Jy skep en pas firewall beleide toe as aparte stappe. Jy kan firewall beleide skep en toepas op die organisasie of map knooppunte van die . 'n Firewall beleid reël kan verbinding blokkeer, verbinding toelaat, of firewall reël evaluering uitstel na laer vlakke van mappen of VPC firewall reëls wat in VPC-netwerke gedefinieer is.
Standaard geld alle hiërargiese firewall beleid reëls vir alle VM's in alle projekte onder die organisasie of map waar die beleid geassosieer is. Jy kan egter beperk watter VM's 'n gegewe reël kry deur spesifiseer.
Jy kan hier lees hoe om .
.
Leer & oefen AWS Hacking: Leer & oefen GCP Hacking:
Kyk na die !
Sluit aan by die 💬 of die of volg ons op Twitter 🐦 .
Deel hacking truuks deur PRs in te dien na die en github repos.
