GCP - VPC & Networking
Last updated
Last updated
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
VPCs περιέχουν κανόνες Firewall για να επιτρέπουν την εισερχόμενη κίνηση στο VPC. Οι VPCs περιέχουν επίσης υποδίκτυα όπου οι εικονικές μηχανές θα είναι συνδεδεμένες. Σε σύγκριση με το AWS, το Firewall θα ήταν το πλησιέστερο πράγμα σε AWS Security Groups και NACLs, αλλά σε αυτή την περίπτωση αυτοί ορίζονται στο VPC και όχι σε κάθε instance.
Οι Compute Instances είναι συνδεδεμένες σε υποδίκτυα που είναι μέρος των VPCs (Virtual Private Clouds). Στο GCP δεν υπάρχουν ομάδες ασφαλείας, υπάρχουν firewalls VPC με κανόνες που ορίζονται σε αυτό το επίπεδο δικτύου αλλά εφαρμόζονται σε κάθε VM Instance.
Μια VPC μπορεί να έχει πολλά υποδίκτυα. Κάθε υποδίκτυο είναι σε 1 περιοχή.
Από προεπιλογή, κάθε δίκτυο έχει δύο υπονοούμενους κανόνες firewall: επιτρέπουν την έξοδο και αρνούνται την είσοδο.
Όταν δημιουργείται ένα έργο GCP, δημιουργείται επίσης μια VPC που ονομάζεται default, με τους εξής κανόνες firewall:
default-allow-internal: επιτρέπει όλη την κίνηση από άλλες instances στο δίκτυο default
default-allow-ssh: επιτρέπει 22 από παντού
default-allow-rdp: επιτρέπει 3389 από παντού
default-allow-icmp: επιτρέπει ping από παντού
Όπως μπορείτε να δείτε, οι κανόνες firewall τείνουν να είναι πιο επιεικείς για εσωτερικές διευθύνσεις IP. Η προεπιλεγμένη VPC επιτρέπει όλη την κίνηση μεταξύ των Compute Instances.
Περισσότεροι κανόνες Firewall μπορούν να δημιουργηθούν για την προεπιλεγμένη VPC ή για νέες VPCs. Κανόνες Firewall μπορούν να εφαρμοστούν σε instances μέσω των εξής μεθόδων:
Όλες οι instances εντός μιας VPC
Δυστυχώς, δεν υπάρχει μια απλή εντολή gcloud για να εμφανίσει όλες τις Compute Instances με ανοιχτές θύρες στο διαδίκτυο. Πρέπει να συνδέσετε τα σημεία μεταξύ των κανόνων firewall, των ετικετών δικτύου, των λογαριασμών υπηρεσιών και των instances.
Αυτή η διαδικασία αυτοματοποιήθηκε χρησιμοποιώντας αυτό το python script το οποίο θα εξάγει τα εξής:
Αρχείο CSV που δείχνει instance, δημόσια IP, επιτρεπόμενο TCP, επιτρεπόμενο UDP
Σάρωση nmap για να στοχεύσει όλες τις instances σε θύρες εισερχόμενες που επιτρέπονται από το δημόσιο διαδίκτυο (0.0.0.0/0)
masscan για να στοχεύσει το πλήρες εύρος TCP αυτών των instances που επιτρέπουν ΟΛΕΣ τις θύρες TCP από το δημόσιο διαδίκτυο (0.0.0.0/0)
Ιεραρχικές πολιτικές firewall σας επιτρέπουν να δημιουργήσετε και να επιβάλετε μια συνεπή πολιτική firewall σε όλη την οργάνωσή σας. Μπορείτε να αναθέσετε ιεραρχικές πολιτικές firewall στην οργάνωση ως σύνολο ή σε μεμονωμένα φακέλους. Αυτές οι πολιτικές περιέχουν κανόνες που μπορούν ρητά να αρνούνται ή να επιτρέπουν συνδέσεις.
Δημιουργείτε και εφαρμόζετε πολιτικές firewall ως ξεχωριστά βήματα. Μπορείτε να δημιουργήσετε και να εφαρμόσετε πολιτικές firewall στα nodes οργάνωσης ή φακέλων της ιεραρχίας πόρων. Ένας κανόνας πολιτικής firewall μπορεί να μπλοκάρει συνδέσεις, να επιτρέπει συνδέσεις ή να αναβάλλει την αξιολόγηση κανόνων firewall σε χαμηλότερους φακέλους ή κανόνες firewall VPC που ορίζονται σε δίκτυα VPC.
Από προεπιλογή, όλοι οι κανόνες πολιτικής firewall ισχύουν για όλα τα VMs σε όλα τα έργα κάτω από την οργάνωση ή τον φάκελο όπου σχετίζεται η πολιτική. Ωστόσο, μπορείτε να περιορίσετε ποια VMs λαμβάνουν έναν δεδομένο κανόνα καθορίζοντας στόχους δικτύων ή στόχους λογαριασμών υπηρεσιών.
Μπορείτε να διαβάσετε εδώ πώς να δημιουργήσετε μια Ιεραρχική Πολιτική Firewall.
Οργάνωση: Πολιτικές firewall που ανατίθενται στην Οργάνωση
Φάκελος: Πολιτικές firewall που ανατίθενται στον Φάκελο
VPC: Κανόνες firewall που ανατίθενται στο VPC
Παγκόσμιο: Ένας άλλος τύπος κανόνων firewall που μπορούν να ανατεθούν σε VPCs
Περιφερειακό: Κανόνες firewall που σχετίζονται με το δίκτυο VPC της NIC του VM και την περιοχή του VM.
Επιτρέπει τη σύνδεση δύο δικτύων Virtual Private Cloud (VPC) έτσι ώστε οι πόροι σε κάθε δίκτυο να μπορούν να επικοινωνούν μεταξύ τους. Τα δίκτυα VPC που έχουν συνδεθεί μπορούν να είναι στο ίδιο έργο, σε διαφορετικά έργα της ίδιας οργάνωσης ή σε διαφορετικά έργα διαφορετικών οργανώσεων.
Αυτές είναι οι απαραίτητες άδειες:
compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
