Az - Azure Network

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Azure के भीतर नेटवर्क उसके क्लाउड कंप्यूटिंग प्लेटफॉर्म का एक अभिन्न हिस्सा के रूप में कार्य करते हैं, जो विभिन्न Azure सेवाओं और संसाधनों के बीच कनेक्शन और संचार को सक्षम बनाते हैं। Azure में नेटवर्क आर्किटेक्चर को अत्यधिक स्केलेबल, सुरक्षित और अनुकूलन योग्य बनाने के लिए डिज़ाइन किया गया है।

इसके मूल में, Azure एक वर्चुअल नेटवर्क (VNet) प्रदान करता है जो उपयोगकर्ताओं को Azure क्लाउड के भीतर अलग नेटवर्क बनाने की अनुमति देता है। इन VNets के भीतर, वर्चुअल मशीनों, अनुप्रयोगों और डेटाबेस जैसे संसाधनों को सुरक्षित रूप से होस्ट और प्रबंधित किया जा सकता है। Azure में नेटवर्किंग क्लाउड के भीतर (Azure सेवाओं के बीच) संचार और बाहरी नेटवर्कों और इंटरनेट से कनेक्शन दोनों का समर्थन करती है।

सुरक्षा Azure नेटवर्किंग का एक महत्वपूर्ण पहलू है, जिसमें डेटा की सुरक्षा, पहुंच प्रबंधन और अनुपालन सुनिश्चित करने के लिए विभिन्न उपकरण और सेवाएँ उपलब्ध हैं। इन सुरक्षा उपायों में फायरवॉल, नेटवर्क सुरक्षा समूह, और एन्क्रिप्शन क्षमताएँ शामिल हैं, जो ट्रैफ़िक और पहुंच पर उच्च स्तर का नियंत्रण प्रदान करती हैं।

कुल मिलाकर, Azure की नेटवर्किंग क्षमताएँ लचीलापन प्रदान करने के लिए डिज़ाइन की गई हैं, जिससे उपयोगकर्ता एक ऐसा नेटवर्क वातावरण बना सकते हैं जो उनकी विशिष्ट अनुप्रयोग और कार्यभार की आवश्यकताओं के अनुकूल हो, जबकि सुरक्षा और विश्वसनीयता पर एक मजबूत जोर बनाए रखते हैं।

Virtual Network (VNET) & Subnets

Azure में एक VNet मूल रूप से आपके अपने नेटवर्क का क्लाउड में प्रतिनिधित्व है। यह आपके सदस्यता के लिए समर्पित Azure क्लाउड का एक तार्किक पृथक्करण है। एक VNet आपको Azure में वर्चुअल प्राइवेट नेटवर्क (VPNs) को प्रावधान और प्रबंधित करने की अनुमति देता है और इसका उपयोग कई प्रकार के Azure संसाधनों जैसे वर्चुअल मशीनें (VMs), डेटाबेस, और अनुप्रयोग सेवाओं को होस्ट और प्रबंधित करने के लिए किया जा सकता है।

VNets आपको अपने नेटवर्क सेटिंग्स पर पूर्ण नियंत्रण प्रदान करते हैं, जिसमें IP पता रेंज, उपनेट निर्माण, रूट तालिकाएँ, और नेटवर्क गेटवे शामिल हैं।

एक उपनेट आपके VNet में IP पतों की एक रेंज है। आप संगठन और सुरक्षा के लिए एक VNet को कई उपनेट में विभाजित कर सकते हैं। एक VNet में प्रत्येक उपनेट का उपयोग आपके नेटवर्क और अनुप्रयोग आर्किटेक्चर के अनुसार संसाधनों को अलग करने और समूहित करने के लिए किया जा सकता है।

इसके अलावा, उपनेट आपको अपने VNet को एक या अधिक उप-नेटवर्क में विभाजित करने की अनुमति देते हैं, जो संसाधनों के उपयोग के लिए IP पतों की एक रेंज प्रदान करते हैं।

Example

मान लीजिए कि आपके पास MyVNet नाम का एक VNet है जिसमें 10.0.0.0/16 का IP पता रेंज है। आप इस VNet के भीतर एक उपनेट बना सकते हैं, मान लीजिए Subnet-1, जिसमें आपके वेब सर्वरों के लिए 10.0.0.0/24 का IP पता रेंज है। एक अन्य उपनेट, Subnet-2 जिसमें 10.0.1.0/24 का रेंज है, आपके डेटाबेस सर्वरों के लिए उपयोग किया जा सकता है। यह विभाजन नेटवर्क के भीतर कुशल प्रबंधन और सुरक्षा नियंत्रण की अनुमति देता है।

Enumeration

Azure खाते में सभी VNets और उपनेट्स की सूची बनाने के लिए, आप Azure कमांड-लाइन इंटरफेस (CLI) का उपयोग कर सकते हैं। यहाँ कदम हैं:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

नेटवर्क सुरक्षा समूह (NSG)

Azure में, एक नेटवर्क सुरक्षा समूह (NSG) का मुख्य कार्य Azure वर्चुअल नेटवर्क (VNet) के भीतर Azure संसाधनों के लिए और से नेटवर्क ट्रैफ़िक को फ़िल्टर करना है। इसमें सुरक्षा नियमों का एक सेट होता है जो नेटवर्क ट्रैफ़िक के प्रवाह को बारीकी से निर्धारित करता है।

NSG के प्रमुख पहलू शामिल हैं:

ट्रैफ़िक नियंत्रण: प्रत्येक NSG में नियम होते हैं जो विभिन्न Azure संसाधनों से संबंधित इनबाउंड और आउटबाउंड नेटवर्क ट्रैफ़िक को अनुमति देने या अवरुद्ध करने में सहायक होते हैं।
नियम घटक: NSG के भीतर के नियम अत्यधिक विशिष्ट होते हैं, जो स्रोत/गंतव्य IP पते, पोर्ट और प्रोटोकॉल जैसे मानदंडों के आधार पर ट्रैफ़िक को फ़िल्टर करते हैं। यह विशिष्टता नेटवर्क ट्रैफ़िक के बारीक प्रबंधन की अनुमति देती है।
सुरक्षा संवर्धन: यह सुनिश्चित करके कि केवल अधिकृत ट्रैफ़िक आपके Azure संसाधनों में प्रवेश या निकास कर सकता है, NSGs आपके नेटवर्क अवसंरचना की सुरक्षा स्थिति को मजबूत करने में महत्वपूर्ण भूमिका निभाते हैं।

उदाहरण

कल्पना करें कि आपके पास MyNSG नाम का एक NSG है जो आपके VNet के एक उपनेट या एक विशिष्ट वर्चुअल मशीन पर लागू है। आप नियम बना सकते हैं जैसे:
किसी भी स्रोत से आपके वेब सर्वरों के लिए HTTP ट्रैफ़िक (पोर्ट 80) की अनुमति देने वाला एक इनबाउंड नियम।
एक आउटबाउंड नियम जो केवल एक विशिष्ट गंतव्य IP पते की सीमा के लिए SQL ट्रैफ़िक (पोर्ट 1433) की अनुमति देता है।

गणना

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

Azure Firewall

Azure Firewall एक प्रबंधित, क्लाउड-आधारित नेटवर्क सुरक्षा सेवा है जो आपके Azure वर्चुअल नेटवर्क संसाधनों की सुरक्षा करती है। यह एक पूरी तरह से स्टेटफुल फ़ायरवॉल के रूप में सेवा है जिसमें अंतर्निहित उच्च उपलब्धता और स्केलेबिलिटी सुविधाएँ हैं।

Azure Firewall NSGs की तुलना में अधिक उन्नत सुविधाएँ प्रदान करता है, जिसमें ऐप्लिकेशन-स्तरीय फ़िल्टरिंग, नेटवर्क-स्तरीय फ़िल्टरिंग, खतरे की जानकारी पर आधारित फ़िल्टरिंग, और लॉगिंग और एनालिटिक्स के लिए Azure Monitor के साथ एकीकरण शामिल है। यह आउटबाउंड, इनबाउंड, स्पोक-टू-स्पोक, VPN, और ExpressRoute ट्रैफ़िक को फ़िल्टर कर सकता है। फ़ायरवॉल नियम FQDN (पूर्ण रूप से योग्य डोमेन नाम), IP पते, और पोर्ट के आधार पर बनाए जा सकते हैं।

Azure Firewall और NSGs के बीच अंतर

दायरा:

NSG: सबनेट या नेटवर्क इंटरफेस स्तर पर काम करता है। इसका उद्देश्य नेटवर्क इंटरफेस (NIC), VMs, या सबनेट से इनबाउंड और आउटबाउंड ट्रैफ़िक का बुनियादी फ़िल्टरिंग प्रदान करना है।
Azure Firewall: VNet स्तर पर कार्य करता है, सुरक्षा का एक व्यापक दायरा प्रदान करता है। यह आपके वर्चुअल नेटवर्क संसाधनों की सुरक्षा करने और VNet में आने-जाने वाले ट्रैफ़िक का प्रबंधन करने के लिए डिज़ाइन किया गया है।

क्षमताएँ:

NSG: IP पते, पोर्ट, और प्रोटोकॉल के आधार पर बुनियादी फ़िल्टरिंग क्षमताएँ प्रदान करता है। यह ऐप्लिकेशन-स्तरीय निरीक्षण या खतरे की जानकारी जैसी उन्नत सुविधाओं का समर्थन नहीं करता है।
Azure Firewall: ऐप्लिकेशन-स्तरीय (लेयर 7) ट्रैफ़िक फ़िल्टरिंग, खतरे की जानकारी पर आधारित फ़िल्टरिंग, नेटवर्क ट्रैफ़िक फ़िल्टरिंग, और अधिक जैसी उन्नत सुविधाएँ प्रदान करता है। यह कई सार्वजनिक IP पते का भी समर्थन करता है।

उपयोग के मामले:

NSG: बुनियादी नेटवर्क स्तर के ट्रैफ़िक फ़िल्टरिंग के लिए आदर्श।
Azure Firewall: अधिक जटिल फ़िल्टरिंग परिदृश्यों के लिए उपयुक्त जहाँ ऐप्लिकेशन-स्तरीय नियंत्रण, लॉगिंग, और खतरे की जानकारी की आवश्यकता होती है।

प्रबंधन और निगरानी:

NSG: बुनियादी लॉगिंग और Azure Monitor के साथ एकीकरण प्रदान करता है।
Azure Firewall: Azure Monitor के माध्यम से उन्नत लॉगिंग और एनालिटिक्स क्षमताएँ प्रदान करता है, जो ट्रैफ़िक की प्रकृति और पैटर्न को समझने के लिए आवश्यक है।

Enumeration

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

नेटवर्क वर्चुअल एप्लायंस (NVA)

Azure में एक नेटवर्क वर्चुअल एप्लायंस (NVA) एक वर्चुअल एप्लायंस है जो एक वर्चुअल नेटवर्क के भीतर नेटवर्क कार्यों को करता है। NVAs आमतौर पर उन नेटवर्क कार्यों के लिए उपयोग किए जाते हैं जो Azure में स्वाभाविक रूप से उपलब्ध नहीं हैं या जब अधिक अनुकूलन की आवश्यकता होती है। वे मूल रूप से VMs हैं जो नेटवर्क एप्लिकेशन या सेवाएं चलाते हैं, जैसे कि फ़ायरवॉल, WAN ऑप्टिमाइज़र, या लोड बैलेंसर।

NVAs जटिल रूटिंग, सुरक्षा, और नेटवर्क ट्रैफ़िक प्रबंधन कार्यों के लिए उपयोग किए जाते हैं। इन्हें Azure Marketplace से तैनात किया जा सकता है, जहां कई तृतीय-पक्ष विक्रेता अपने एप्लायंस को Azure वातावरण में एकीकृत करने के लिए तैयार करते हैं।

उदाहरण

एक संगठन Azure में एक NVA तैनात कर सकता है ताकि एक कस्टम फ़ायरवॉल समाधान बनाया जा सके। यह NVA एक तृतीय-पक्ष फ़ायरवॉल सॉफ़्टवेयर चला सकता है, जो घुसपैठ पहचान, पैकेट निरीक्षण, या VPN कनेक्टिविटी जैसी उन्नत सुविधाएं प्रदान करता है। NVA को इसके माध्यम से गुजरने वाले ट्रैफ़िक की जांच और फ़िल्टर करने के लिए कॉन्फ़िगर किया जा सकता है, यह सुनिश्चित करते हुए कि संगठन की नीतियों के अनुसार सुरक्षा उपाय लागू हैं।

गणना

# Usually NVAs are named or tagged in a way to distinguish them from other VMs
az vm list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# For a specific VM identified as an NVA, list its network interfaces
az vm nic list --vm-name <VMName> --resource-group <ResourceGroupName> --query "[].{id:id}" -o table

Azure Route Tables & User Defined Routes (UDR)

Azure Route Tables एक विशेषता है जो Microsoft Azure के भीतर Azure Virtual Networks (VNets) के भीतर नेटवर्क ट्रैफ़िक रूटिंग को नियंत्रित करने की अनुमति देती है। मूल रूप से, वे यह परिभाषित करते हैं कि पैकेट्स को VNets के भीतर उपनेट्स के बीच, VNets के बीच, या बाहरी नेटवर्कों के लिए कैसे आगे बढ़ाया जाए। प्रत्येक रूट टेबल में नियमों का एक सेट होता है, जिसे रूट्स कहा जाता है, जो यह निर्दिष्ट करता है कि पैकेट्स को उनके गंतव्य IP पते के आधार पर कैसे रूट किया जाना चाहिए।

User Defined Routes (UDR) Azure में कस्टम रूट्स हैं जो आप Azure Route Tables के भीतर बनाते हैं ताकि Azure Virtual Networks (VNets) के भीतर और उनके बीच, और बाहरी कनेक्शनों के लिए नेटवर्क ट्रैफ़िक के प्रवाह को नियंत्रित किया जा सके। UDRs आपको आपके विशिष्ट आवश्यकताओं के अनुसार नेटवर्क ट्रैफ़िक को निर्देशित करने की लचीलापन देते हैं, Azure के डिफ़ॉल्ट रूटिंग निर्णयों को ओवरराइड करते हैं।

ये रूट्स विशेष रूप से उन परिदृश्यों के लिए उपयोगी होते हैं जहाँ आपको एक वर्चुअल एप्लायंस के माध्यम से ट्रैफ़िक को रूट करने की आवश्यकता होती है, सुरक्षा या नीति अनुपालन के लिए एक विशिष्ट मार्ग को लागू करने की आवश्यकता होती है, या ऑन-प्रिमाइसेस नेटवर्क के साथ एकीकृत करने की आवश्यकता होती है।

Example

मान लीजिए कि आपने एक नेटवर्क वर्चुअल एप्लायंस (NVA) तैनात किया है जो एक VNet के भीतर उपनेट्स के बीच ट्रैफ़िक का निरीक्षण करता है। आप एक UDR बना सकते हैं जो एक उपनेट से दूसरे उपनेट तक सभी ट्रैफ़िक को NVA के माध्यम से जाने के लिए निर्देशित करता है। यह UDR सुनिश्चित करता है कि NVA सुरक्षा उद्देश्यों के लिए ट्रैफ़िक का निरीक्षण करता है इससे पहले कि यह अपने गंतव्य तक पहुंचे।

Enumeration

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List UDRs for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

Azure Private Link

Azure Private Link एक सेवा है जो Azure में Azure सेवाओं के लिए निजी पहुंच सक्षम करती है यह सुनिश्चित करके कि आपके Azure वर्चुअल नेटवर्क (VNet) और सेवा के बीच का ट्रैफ़िक पूरी तरह से Microsoft के Azure बैकबोन नेटवर्क के भीतर यात्रा करता है। यह प्रभावी रूप से सेवा को आपके VNet में लाता है। यह सेटअप सुरक्षा को बढ़ाता है क्योंकि डेटा को सार्वजनिक इंटरनेट पर उजागर नहीं किया जाता है।

Private Link का उपयोग विभिन्न Azure सेवाओं के साथ किया जा सकता है, जैसे Azure Storage, Azure SQL Database, और Private Link के माध्यम से साझा की गई कस्टम सेवाएं। यह आपके अपने VNet के भीतर या यहां तक कि विभिन्न Azure सब्सक्रिप्शन से सेवाओं का उपभोग करने का एक सुरक्षित तरीका प्रदान करता है।

NSGs निजी एंडपॉइंट्स पर लागू नहीं होते हैं, जिसका स्पष्ट अर्थ है कि Private Link वाले सबनेट के साथ NSG को जोड़ने का कोई प्रभाव नहीं होगा।

Example

एक परिदृश्य पर विचार करें जहां आपके पास एक Azure SQL Database है जिसे आप अपने VNet से सुरक्षित रूप से एक्सेस करना चाहते हैं। सामान्यतः, इसमें सार्वजनिक इंटरनेट के माध्यम से यात्रा करना शामिल हो सकता है। Private Link के साथ, आप अपने VNet में एक निजी एंडपॉइंट बना सकते हैं जो सीधे Azure SQL Database सेवा से जुड़ता है। यह एंडपॉइंट डेटाबेस को इस तरह से प्रदर्शित करता है जैसे कि यह आपके अपने VNet का हिस्सा है, एक निजी IP पते के माध्यम से सुलभ है, इस प्रकार सुरक्षित और निजी पहुंच सुनिश्चित करता है।

Enumeration

# List Private Link Services
z network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

Azure सेवा एंडपॉइंट

Azure सेवा एंडपॉइंट आपके वर्चुअल नेटवर्क के निजी पते की जगह और आपके VNet की पहचान को Azure सेवाओं के साथ सीधे कनेक्शन के माध्यम से बढ़ाते हैं। सेवा एंडपॉइंट सक्षम करके, आपके VNet में संसाधन सुरक्षित रूप से Azure सेवाओं से कनेक्ट कर सकते हैं, जैसे Azure Storage और Azure SQL Database, Azure के बैकबोन नेटवर्क का उपयोग करते हुए। यह सुनिश्चित करता है कि VNet से Azure सेवा तक का ट्रैफ़िक Azure नेटवर्क के भीतर रहता है, जो एक अधिक सुरक्षित और विश्वसनीय मार्ग प्रदान करता है।

उदाहरण

उदाहरण के लिए, एक Azure Storage खाता डिफ़ॉल्ट रूप से सार्वजनिक इंटरनेट पर सुलभ है। अपने VNet के भीतर Azure Storage के लिए एक सेवा एंडपॉइंट सक्षम करके, आप सुनिश्चित कर सकते हैं कि केवल आपके VNet से आने वाला ट्रैफ़िक ही स्टोरेज खाते तक पहुँच सकता है। फिर स्टोरेज खाता फ़ायरवॉल को इस तरह से कॉन्फ़िगर किया जा सकता है कि वह केवल आपके VNet से आने वाले ट्रैफ़िक को स्वीकार करे।

गणना

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

Service Endpoints और Private Links के बीच अंतर

Microsoft docs में Private Links का उपयोग करने की सिफारिश करता है: \

Service Endpoints:

आपके VNet से Azure सेवा तक का ट्रैफ़िक Microsoft Azure बैकबोन नेटवर्क के माध्यम से यात्रा करता है, सार्वजनिक इंटरनेट को बायपास करता है।
यह एंडपॉइंट Azure सेवा के लिए एक सीधा कनेक्शन है और VNet के भीतर सेवा के लिए एक निजी IP प्रदान नहीं करता है।
सेवा स्वयं आपके VNet के बाहर इसके सार्वजनिक एंडपॉइंट के माध्यम से अभी भी सुलभ है जब तक कि आप सेवा फ़ायरवॉल को इस तरह के ट्रैफ़िक को ब्लॉक करने के लिए कॉन्फ़िगर नहीं करते।
यह सबनेट और Azure सेवा के बीच एक-से-एक संबंध है।
Private Links की तुलना में कम महंगा है।

Private Links:

Private Link Azure सेवाओं को आपके VNet में एक निजी एंडपॉइंट के माध्यम से मैप करता है, जो आपके VNet के भीतर एक निजी IP पते के साथ एक नेटवर्क इंटरफेस है।
Azure सेवा को इस निजी IP पते का उपयोग करके एक्सेस किया जाता है, जिससे यह ऐसा प्रतीत होता है जैसे यह आपके नेटवर्क का हिस्सा है।
Private Link के माध्यम से जुड़े सेवाओं को केवल आपके VNet या जुड़े नेटवर्क से एक्सेस किया जा सकता है; सेवा के लिए कोई सार्वजनिक इंटरनेट एक्सेस नहीं है।
यह Azure सेवाओं या Azure में होस्ट की गई आपकी अपनी सेवाओं के लिए एक सुरक्षित कनेक्शन सक्षम करता है, साथ ही दूसरों द्वारा साझा की गई सेवाओं के लिए भी।
यह आपके VNet में एक निजी एंडपॉइंट के माध्यम से अधिक बारीक पहुंच नियंत्रण प्रदान करता है, जबकि सेवा एंडपॉइंट के साथ सबनेट स्तर पर व्यापक पहुंच नियंत्रण के विपरीत।

संक्षेप में, जबकि Service Endpoints और Private Links दोनों Azure सेवाओं के लिए सुरक्षित कनेक्टिविटी प्रदान करते हैं, Private Links एक उच्च स्तर की अलगाव और सुरक्षा प्रदान करते हैं यह सुनिश्चित करते हुए कि सेवाओं को सार्वजनिक इंटरनेट के लिए उजागर किए बिना निजी रूप से एक्सेस किया जाता है। दूसरी ओर, Service Endpoints सामान्य मामलों के लिए सेट अप करना आसान है जहां Azure सेवाओं के लिए सरल, सुरक्षित पहुंच की आवश्यकता होती है बिना VNet में एक निजी IP की आवश्यकता के।

Azure Front Door (AFD) & AFD WAF

Azure Front Door आपके वैश्विक वेब अनुप्रयोगों के लिए तेज़ डिलीवरी के लिए एक स्केलेबल और सुरक्षित प्रवेश बिंदु है। यह वैश्विक लोड बैलेंसिंग, साइट त्वरक, SSL ऑफ़लोडिंग, और वेब एप्लिकेशन फ़ायरवॉल (WAF) क्षमताओं जैसी विभिन्न सेवाओं को एकल सेवा में संयोजित करता है। Azure Front Door उपयोगकर्ता के लिए सबसे निकटतम एज स्थान के आधार पर बुद्धिमान रूटिंग प्रदान करता है, जिससे प्रदर्शन और विश्वसनीयता सुनिश्चित होती है। इसके अतिरिक्त, यह URL-आधारित रूटिंग, कई साइट होस्टिंग, सत्र संबंधी अनुकूलता, और एप्लिकेशन स्तर की सुरक्षा प्रदान करता है।

Azure Front Door WAF को वेब-आधारित हमलों से वेब अनुप्रयोगों की सुरक्षा के लिए डिज़ाइन किया गया है बिना बैक-एंड कोड में संशोधन किए। इसमें SQL इंजेक्शन, क्रॉस-साइट स्क्रिप्टिंग, और अन्य सामान्य हमलों जैसे खतरों से सुरक्षा के लिए कस्टम नियम और प्रबंधित नियम सेट शामिल हैं।

उदाहरण

कल्पना करें कि आपके पास एक वैश्विक रूप से वितरित अनुप्रयोग है जिसमें दुनिया भर में उपयोगकर्ता हैं। आप Azure Front Door का उपयोग करके उपयोगकर्ता अनुरोधों को आपके अनुप्रयोग को होस्ट करने वाले निकटतम क्षेत्रीय डेटा केंद्र की ओर रूट कर सकते हैं, जिससे विलंबता कम होती है, उपयोगकर्ता अनुभव में सुधार होता है और WAF क्षमताओं के साथ वेब हमलों से इसकी रक्षा होती है। यदि किसी विशेष क्षेत्र में डाउनटाइम होता है, तो Azure Front Door स्वचालित रूप से ट्रैफ़िक को अगले सबसे अच्छे स्थान पर रीरूट कर सकता है, जिससे उच्च उपलब्धता सुनिश्चित होती है।

Enumeration

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Azure Application Gateway और Azure Application Gateway WAF

Azure Application Gateway एक वेब ट्रैफ़िक लोड बैलेंसर है जो आपको अपने वेब अनुप्रयोगों के लिए ट्रैफ़िक प्रबंधित करने की अनुमति देता है। यह लेयर 7 लोड बैलेंसिंग, SSL टर्मिनेशन, और वेब एप्लिकेशन फ़ायरवॉल (WAF) क्षमताएँ Application Delivery Controller (ADC) के रूप में सेवा में प्रदान करता है। मुख्य विशेषताओं में URL-आधारित रूटिंग, कुकी-आधारित सत्र संबंध, और सुरक्षित सॉकेट्स लेयर (SSL) ऑफ़लोडिंग शामिल हैं, जो उन अनुप्रयोगों के लिए महत्वपूर्ण हैं जिन्हें जटिल लोड-बैलेंसिंग क्षमताओं की आवश्यकता होती है जैसे वैश्विक रूटिंग और पथ-आधारित रूटिंग।

उदाहरण

एक परिदृश्य पर विचार करें जहाँ आपके पास एक ई-कॉमर्स वेबसाइट है जिसमें विभिन्न कार्यों के लिए कई उपडोमेन शामिल हैं, जैसे उपयोगकर्ता खाते और भुगतान प्रसंस्करण। Azure Application Gateway URL पथ के आधार पर उपयुक्त वेब सर्वरों की ओर ट्रैफ़िक रूट कर सकता है। उदाहरण के लिए, example.com/accounts पर ट्रैफ़िक को उपयोगकर्ता खातों की सेवा की ओर निर्देशित किया जा सकता है, और example.com/pay पर ट्रैफ़िक को भुगतान प्रसंस्करण सेवा की ओर निर्देशित किया जा सकता है। और WAF क्षमताओं का उपयोग करके अपने वेबसाइट को हमलों से सुरक्षित करें।

Enumeration

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

Azure Hub, Spoke & VNet Peering

VNet Peering एक नेटवर्किंग फीचर है जो Azure में विभिन्न वर्चुअल नेटवर्क (VNets) को सीधे और निर्बाध रूप से जोड़ने की अनुमति देता है। VNet पीयरिंग के माध्यम से, एक VNet में संसाधन दूसरे VNet में संसाधनों के साथ निजी IP पते का उपयोग करके संवाद कर सकते हैं, जैसे कि वे एक ही नेटवर्क में हों। VNet Peering को ऑन-प्रेम नेटवर्क के साथ भी उपयोग किया जा सकता है साइट-टू-साइट VPN या Azure ExpressRoute सेटअप करके।

Azure Hub and Spoke एक नेटवर्क टोपोलॉजी है जिसका उपयोग Azure में नेटवर्क ट्रैफ़िक को प्रबंधित और व्यवस्थित करने के लिए किया जाता है। "हब" एक केंद्रीय बिंदु है जो विभिन्न "स्पोक" के बीच ट्रैफ़िक को नियंत्रित और रूट करता है। हब में आमतौर पर साझा सेवाएँ होती हैं जैसे नेटवर्क वर्चुअल एप्लायंसेस (NVAs), Azure VPN गेटवे, Azure फ़ायरवॉल, या Azure बैस्टियन। "स्पोक" वे VNets हैं जो कार्यभार को होस्ट करते हैं और VNet पीयरिंग का उपयोग करके हब से कनेक्ट होते हैं, जिससे उन्हें हब के भीतर साझा सेवाओं का लाभ उठाने की अनुमति मिलती है। यह मॉडल साफ नेटवर्क लेआउट को बढ़ावा देता है, जिससे जटिलता कम होती है क्योंकि यह विभिन्न VNets के बीच कई कार्यभारों द्वारा उपयोग की जाने वाली सामान्य सेवाओं को केंद्रीकृत करता है।

Azure में VNET पेयरिंग गैर-परिवर्तनीय है, जिसका अर्थ है कि यदि स्पोक 1 स्पोक 2 से जुड़ा है और स्पोक 2 स्पोक 3 से जुड़ा है, तो स्पोक 1 सीधे स्पोक 3 से बात नहीं कर सकता।

Examples

एक कंपनी की कल्पना करें जिसमें बिक्री, मानव संसाधन और विकास जैसे अलग-अलग विभाग हैं, प्रत्येक के पास अपना खुद का VNet (स्पोक) है। इन VNets को साझा संसाधनों तक पहुँच की आवश्यकता होती है जैसे एक केंद्रीय डेटाबेस, एक फ़ायरवॉल, और एक इंटरनेट गेटवे, जो सभी दूसरे VNet (हब) में स्थित हैं। हब और स्पोक मॉडल का उपयोग करके, प्रत्येक विभाग हब VNet के माध्यम से साझा संसाधनों से सुरक्षित रूप से कनेक्ट कर सकता है बिना उन संसाधनों को सार्वजनिक इंटरनेट पर उजागर किए या कई कनेक्शनों के साथ एक जटिल नेटवर्क संरचना बनाए बिना।

Enumeration

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

साइट-से-साइट वीपीएन

Azure में एक साइट-से-साइट वीपीएन आपको अपने ऑन-प्रिमाइसेस नेटवर्क को अपने Azure वर्चुअल नेटवर्क (VNet) से कनेक्ट करने की अनुमति देता है, जिससे Azure के भीतर VMs जैसे संसाधन आपके स्थानीय नेटवर्क पर होने का आभास देते हैं। यह कनेक्शन एक वीपीएन गेटवे के माध्यम से स्थापित किया जाता है जो दोनों नेटवर्कों के बीच ट्रैफ़िक को एन्क्रिप्ट करता है।

उदाहरण

एक व्यवसाय जिसका मुख्य कार्यालय न्यूयॉर्क में स्थित है, एक ऑन-प्रिमाइसेस डेटा सेंटर है जिसे Azure में अपने VNet से सुरक्षित रूप से कनेक्ट करने की आवश्यकता है, जो इसके वर्चुअलाइज्ड वर्कलोड्स को होस्ट करता है। एक साइट-से-साइट वीपीएन सेटअप करके, कंपनी ऑन-प्रिमाइसेस सर्वरों और Azure VMs के बीच एन्क्रिप्टेड कनेक्टिविटी सुनिश्चित कर सकती है, जिससे दोनों वातावरणों में संसाधनों को सुरक्षित रूप से एक्सेस किया जा सके जैसे कि वे एक ही स्थानीय नेटवर्क में हों।

गणना

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

Azure ExpressRoute

Azure ExpressRoute एक सेवा है जो आपके ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर और Azure डेटा केंद्रों के बीच एक निजी, समर्पित, उच्च-गति कनेक्शन प्रदान करती है। यह कनेक्शन एक कनेक्टिविटी प्रदाता के माध्यम से बनाया जाता है, जो सार्वजनिक इंटरनेट को बायपास करता है और सामान्य इंटरनेट कनेक्शनों की तुलना में अधिक विश्वसनीयता, तेज गति, कम विलंबता और उच्च सुरक्षा प्रदान करता है।

उदाहरण

एक बहुराष्ट्रीय निगम को उच्च मात्रा के डेटा और उच्च थ्रूपुट की आवश्यकता के कारण अपने Azure सेवाओं के लिए एक संगत और विश्वसनीय कनेक्शन की आवश्यकता होती है। कंपनी अपने ऑन-प्रिमाइसेस डेटा केंद्र को Azure से सीधे कनेक्ट करने के लिए Azure ExpressRoute का विकल्प चुनती है, जिससे बड़े पैमाने पर डेटा ट्रांसफर, जैसे दैनिक बैकअप और वास्तविक समय डेटा एनालिटिक्स, को बेहतर गोपनीयता और गति के साथ सुगम बनाया जा सके।

Enumeration

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमारा अनुसरण करें Twitter 🐦 @hacktricks_live.
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PR सबमिट करें।

PreviousAz - Virtual Machines & Network NextAz - Permissions for a Pentest

Last updated 3 days ago