Az - Azure Network

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Azure वर्चुअल नेटवर्क (VNet) प्रदान करता है जो उपयोगकर्ताओं को Azure क्लाउड के भीतर अलग नेटवर्क बनाने की अनुमति देता है। इन VNets के भीतर, संसाधन जैसे वर्चुअल मशीन, अनुप्रयोग, डेटाबेस... को सुरक्षित रूप से होस्ट और प्रबंधित किया जा सकता है। Azure में नेटवर्किंग क्लाउड के भीतर (Azure सेवाओं के बीच) संचार और बाहरी नेटवर्क और इंटरनेट से कनेक्शन का समर्थन करती है। इसके अलावा, VNets को अन्य VNets और ऑन-प्रिमाइस नेटवर्क के साथ कनेक्ट करना संभव है।

Virtual Network (VNET) & Subnets

Azure वर्चुअल नेटवर्क (VNet) आपके अपने नेटवर्क का प्रतिनिधित्व है जो क्लाउड में, आपके सब्सक्रिप्शन के लिए समर्पित Azure वातावरण के भीतर तार्किक अलगाव प्रदान करता है। VNets आपको Azure में वर्चुअल प्राइवेट नेटवर्क (VPNs) को प्रावधान और प्रबंधित करने की अनुमति देते हैं, जो वर्चुअल मशीन (VMs), डेटाबेस, और अनुप्रयोग सेवाओं जैसे संसाधनों को होस्ट करते हैं। वे नेटवर्क सेटिंग्स पर पूर्ण नियंत्रण प्रदान करते हैं, जिसमें IP पता रेंज, सबनेट निर्माण, रूट तालिकाएँ, और नेटवर्क गेटवे शामिल हैं।

सबनेट एक VNet के भीतर उपविभाजन हैं, जिन्हें विशिष्ट IP पता रेंज द्वारा परिभाषित किया गया है। एक VNet को कई सबनेट में विभाजित करके, आप अपने नेटवर्क आर्किटेक्चर के अनुसार संसाधनों को व्यवस्थित और सुरक्षित कर सकते हैं। डिफ़ॉल्ट रूप से, एक ही Azure वर्चुअल नेटवर्क (VNet) के भीतर सभी सबनेट एक-दूसरे के साथ संचार कर सकते हैं बिना किसी प्रतिबंध के।

उदाहरण:

MyVNet जिसमें IP पता रेंज 10.0.0.0/16 है।
Subnet-1: 10.0.0.0/24 वेब सर्वरों के लिए।
Subnet-2: 10.0.1.0/24 डेटाबेस सर्वरों के लिए।

Enumeration

Azure खाते में सभी VNets और सबनेट की सूची बनाने के लिए, आप Azure कमांड-लाइन इंटरफेस (CLI) का उपयोग कर सकते हैं। यहाँ कदम हैं:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}"

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

# List VNets
Get-AzVirtualNetwork | Select-Object Name, Location, @{Name="AddressSpace"; Expression={$_.AddressSpace.AddressPrefixes}}

# List subnets of a VNet
Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName> |
Select-Object -ExpandProperty Subnets |
Select-Object Name, AddressPrefix

नेटवर्क सुरक्षा समूह (NSG)

एक नेटवर्क सुरक्षा समूह (NSG) Azure संसाधनों के लिए Azure वर्चुअल नेटवर्क (VNet) के भीतर नेटवर्क ट्रैफ़िक को फ़िल्टर करता है। इसमें सुरक्षा नियमों का एक सेट होता है जो इनबाउंड और आउटबाउंड ट्रैफ़िक के लिए कौन से पोर्ट खोलने हैं को स्रोत पोर्ट, स्रोत IP, पोर्ट गंतव्य द्वारा इंगित कर सकता है और इसे एक प्राथमिकता सौंपना संभव है (जितनी कम प्राथमिकता संख्या, उतनी ही उच्च प्राथमिकता)।

NSGs को सबनेट और NICs से जोड़ा जा सकता है।

नियमों का उदाहरण:

एक इनबाउंड नियम जो किसी भी स्रोत से आपके वेब सर्वरों के लिए HTTP ट्रैफ़िक (पोर्ट 80) की अनुमति देता है।
एक आउटबाउंड नियम जो केवल एक विशिष्ट गंतव्य IP पते की सीमा के लिए SQL ट्रैफ़िक (पोर्ट 1433) की अनुमति देता है।

गणना

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table
az network nsg show --name <nsg-name>

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

# Get NICs and subnets using this NSG
az network nsg show --name MyLowCostVM-nsg --resource-group Resource_Group_1 --query "{subnets: subnets, networkInterfaces: networkInterfaces}"

# List NSGs
Get-AzNetworkSecurityGroup | Select-Object Name, Location
Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>

# Get NSG rules
(Get-AzNetworkSecurityGroup -ResourceGroupName <NSGName> -Name <ResourceGroupName>).SecurityRules

# Get NICs and subnets using this NSG
(Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>).Subnets

Azure Firewall

Azure Firewall एक प्रबंधित नेटवर्क सुरक्षा सेवा है जो Azure में क्लाउड संसाधनों की सुरक्षा करती है, ट्रैफ़िक की जांच और नियंत्रण करके। यह एक स्टेटफुल फ़ायरवॉल है जो लेयर 3 से 7 के लिए नियमों के आधार पर ट्रैफ़िक को फ़िल्टर करता है, जो Azure के भीतर (पूर्व-पश्चिम ट्रैफ़िक) और बाहरी नेटवर्क के लिए/से (उत्तर-दक्षिण ट्रैफ़िक) संचार का समर्थन करता है। इसे वर्चुअल नेटवर्क (VNet) स्तर पर तैनात किया गया है, जो VNet में सभी सबनेट के लिए केंद्रीकृत सुरक्षा प्रदान करता है। Azure Firewall स्वचालित रूप से ट्रैफ़िक की मांगों को संभालने के लिए स्केल करता है और मैनुअल सेटअप की आवश्यकता के बिना उच्च उपलब्धता सुनिश्चित करता है।

यह तीन SKUs में उपलब्ध है—बेसिक, स्टैंडर्ड, और प्रीमियम, प्रत्येक विशिष्ट ग्राहक आवश्यकताओं के लिए अनुकूलित:

अनुशंसित उपयोग मामला

सीमित आवश्यकताओं वाले छोटे/मध्यम व्यवसाय (SMBs)

सामान्य उद्यम उपयोग, लेयर 3–7 फ़िल्टरिंग

अत्यधिक संवेदनशील वातावरण (जैसे, भुगतान प्रसंस्करण)

प्रदर्शन

250 Mbps तक थ्रूपुट

30 Gbps तक थ्रूपुट

100 Gbps तक थ्रूपुट

खतरे की जानकारी

केवल अलर्ट

अलर्ट और अवरोध (दुष्ट IPs/डोमेन)

अलर्ट और अवरोध (उन्नत खतरे की जानकारी)

L3–L7 फ़िल्टरिंग

बुनियादी फ़िल्टरिंग

प्रोटोकॉल के बीच स्टेटफुल फ़िल्टरिंग

उन्नत निरीक्षण के साथ स्टेटफुल फ़िल्टरिंग

उन्नत खतरे की सुरक्षा

उपलब्ध नहीं

खतरे की जानकारी आधारित फ़िल्टरिंग

घुसपैठ पहचान और रोकथाम प्रणाली (IDPS) शामिल है

TLS निरीक्षण

उपलब्ध नहीं

इनबाउंड/आउटबाउंड TLS समाप्ति का समर्थन करता है

उपलब्धता

निश्चित बैकएंड (2 VMs)

ऑटोस्केलिंग

प्रबंधन में आसानी

बुनियादी नियंत्रण

फ़ायरवॉल प्रबंधक के माध्यम से प्रबंधित

Enumeration

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# List Azure Firewalls
Get-AzFirewall

# Get network rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).NetworkRuleCollections

# Get application rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).ApplicationRuleCollections

# Get nat rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).NatRuleCollections

Azure रूट टेबल

Azure रूट टेबल का उपयोग नेटवर्क ट्रैफ़िक के रूटिंग को नियंत्रित करने के लिए किया जाता है एक उपनेट के भीतर। वे नियमों को परिभाषित करते हैं जो यह निर्दिष्ट करते हैं कि पैकेट को कैसे अग्रेषित किया जाना चाहिए, या तो Azure संसाधनों, इंटरनेट, या एक विशिष्ट अगले कूद जैसे वर्चुअल एप्लायंस या Azure फ़ायरवॉल की ओर। आप एक रूट टेबल को एक उपनेट के साथ जोड़ सकते हैं, और उस उपनेट के भीतर सभी संसाधन तालिका में रूट का पालन करेंगे।

उदाहरण: यदि एक उपनेट में संसाधन हैं जिन्हें निरीक्षण के लिए नेटवर्क वर्चुअल एप्लायंस (NVA) के माध्यम से आउटबाउंड ट्रैफ़िक को रूट करने की आवश्यकता है, तो आप एक रूट टेबल में एक रूट बना सकते हैं ताकि सभी ट्रैफ़िक (जैसे, 0.0.0.0/0) को NVA के निजी IP पते की ओर अगली कूद के रूप में पुनर्निर्देशित किया जा सके।

गणना

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List routes for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

# List Route Tables
Get-AzRouteTable

# List routes for a table
(Get-AzRouteTable -Name <RouteTableName> -ResourceGroupName <ResourceGroupName>).Routes

Azure Private Link

Azure Private Link एक सेवा है जो Azure में Azure सेवाओं के लिए निजी पहुंच सक्षम करती है यह सुनिश्चित करके कि आपके Azure वर्चुअल नेटवर्क (VNet) और सेवा के बीच का ट्रैफ़िक पूरी तरह से Microsoft के Azure बैकबोन नेटवर्क के भीतर यात्रा करता है। यह प्रभावी रूप से सेवा को आपके VNet में लाता है। यह सेटअप सुरक्षा को बढ़ाता है क्योंकि डेटा को सार्वजनिक इंटरनेट पर उजागर नहीं किया जाता है।

Private Link का उपयोग विभिन्न Azure सेवाओं के साथ किया जा सकता है, जैसे Azure Storage, Azure SQL Database, और Private Link के माध्यम से साझा की गई कस्टम सेवाएं। यह आपके अपने VNet के भीतर या यहां तक कि विभिन्न Azure सब्सक्रिप्शन से सेवाओं का उपभोग करने का एक सुरक्षित तरीका प्रदान करता है।

NSGs निजी एंडपॉइंट्स पर लागू नहीं होते हैं, जिसका स्पष्ट अर्थ है कि Private Link वाले सबनेट के साथ NSG को जोड़ने का कोई प्रभाव नहीं होगा।

उदाहरण:

एक परिदृश्य पर विचार करें जहां आपके पास एक Azure SQL Database है जिसे आप अपने VNet से सुरक्षित रूप से एक्सेस करना चाहते हैं। सामान्यतः, इसमें सार्वजनिक इंटरनेट के माध्यम से यात्रा करना शामिल हो सकता है। Private Link के साथ, आप अपने VNet में एक निजी एंडपॉइंट बना सकते हैं जो सीधे Azure SQL Database सेवा से जुड़ता है। यह एंडपॉइंट डेटाबेस को इस तरह से प्रदर्शित करता है जैसे कि यह आपके अपने VNet का हिस्सा है, जिसे एक निजी IP पते के माध्यम से एक्सेस किया जा सकता है, इस प्रकार सुरक्षित और निजी पहुंच सुनिश्चित करता है।

Enumeration

# List Private Link Services
az network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

# List Private Link Services
Get-AzPrivateLinkService | Select-Object Name, Location, ResourceGroupName

# List Private Endpoints
Get-AzPrivateEndpoint | Select-Object Name, Location, ResourceGroupName, PrivateEndpointConnections

Azure सेवा एंडपॉइंट

Azure सेवा एंडपॉइंट आपके वर्चुअल नेटवर्क के निजी पते की जगह और आपके VNet की पहचान को Azure सेवाओं के लिए एक सीधे कनेक्शन के माध्यम से बढ़ाते हैं। सेवा एंडपॉइंट सक्षम करके, आपके VNet में संसाधन सुरक्षित रूप से Azure सेवाओं से कनेक्ट कर सकते हैं, जैसे Azure Storage और Azure SQL Database, Azure के बैकबोन नेटवर्क का उपयोग करते हुए। यह सुनिश्चित करता है कि VNet से Azure सेवा तक का ट्रैफ़िक Azure नेटवर्क के भीतर रहता है, जो एक अधिक सुरक्षित और विश्वसनीय मार्ग प्रदान करता है।

उदाहरण:

उदाहरण के लिए, एक Azure Storage खाता डिफ़ॉल्ट रूप से सार्वजनिक इंटरनेट पर सुलभ है। अपने VNet के भीतर Azure Storage के लिए एक सेवा एंडपॉइंट सक्षम करके, आप सुनिश्चित कर सकते हैं कि केवल आपके VNet से आने वाला ट्रैफ़िक स्टोरेज खाते तक पहुँच सकता है। फिर स्टोरेज खाता फ़ायरवॉल को इस तरह से कॉन्फ़िगर किया जा सकता है कि वह केवल आपके VNet से आने वाले ट्रैफ़िक को स्वीकार करे।

Enumeration

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

# List Virtual Networks with Service Endpoints
Get-AzVirtualNetwork

# List Subnets with Service Endpoints
(Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName>).Subnets

Service Endpoints और Private Links के बीच अंतर

Microsoft docs में Private Links का उपयोग करने की सिफारिश करता है:

Service Endpoints:

आपके VNet से Azure सेवा तक का ट्रैफ़िक Microsoft Azure बैकबोन नेटवर्क के माध्यम से यात्रा करता है, सार्वजनिक इंटरनेट को बायपास करता है।
Endpoint Azure सेवा के लिए एक सीधा कनेक्शन है और VNet के भीतर सेवा के लिए एक निजी IP प्रदान नहीं करता है।
सेवा स्वयं आपके VNet के बाहर से इसके सार्वजनिक endpoint के माध्यम से अभी भी सुलभ है जब तक कि आप सेवा फ़ायरवॉल को ऐसे ट्रैफ़िक को ब्लॉक करने के लिए कॉन्फ़िगर नहीं करते।
यह सबनेट और Azure सेवा के बीच एक-से-एक संबंध है।
Private Links की तुलना में कम महंगा है।

Private Links:

Private Link Azure सेवाओं को आपके VNet में एक निजी endpoint के माध्यम से मैप करता है, जो आपके VNet के भीतर एक निजी IP पते के साथ एक नेटवर्क इंटरफ़ेस है।
Azure सेवा को इस निजी IP पते का उपयोग करके एक्सेस किया जाता है, जिससे यह ऐसा प्रतीत होता है जैसे यह आपके नेटवर्क का हिस्सा है।
Private Link के माध्यम से जुड़े सेवाओं को केवल आपके VNet या जुड़े नेटवर्क से एक्सेस किया जा सकता है; सेवा के लिए कोई सार्वजनिक इंटरनेट एक्सेस नहीं है।
यह Azure सेवाओं या Azure में होस्ट की गई आपकी अपनी सेवाओं के लिए एक सुरक्षित कनेक्शन सक्षम करता है, साथ ही दूसरों द्वारा साझा की गई सेवाओं के लिए एक कनेक्शन भी।
यह आपके VNet में एक निजी endpoint के माध्यम से अधिक बारीक पहुंच नियंत्रण प्रदान करता है, जबकि सेवा endpoints के साथ सबनेट स्तर पर व्यापक पहुंच नियंत्रण के विपरीत।

संक्षेप में, जबकि Service Endpoints और Private Links दोनों Azure सेवाओं के लिए सुरक्षित कनेक्टिविटी प्रदान करते हैं, Private Links एक उच्च स्तर की अलगाव और सुरक्षा प्रदान करते हैं यह सुनिश्चित करके कि सेवाओं को सार्वजनिक इंटरनेट के लिए उजागर किए बिना निजी रूप से एक्सेस किया जाता है। दूसरी ओर, Service Endpoints सामान्य मामलों के लिए सेट अप करना आसान है जहां Azure सेवाओं के लिए सरल, सुरक्षित पहुंच की आवश्यकता होती है बिना VNet में एक निजी IP की आवश्यकता के।

Azure Front Door (AFD) & AFD WAF

Azure Front Door आपके वैश्विक वेब अनुप्रयोगों के लिए तेज़ वितरण के लिए एक स्केलेबल और सुरक्षित प्रवेश बिंदु है। यह वैश्विक लोड संतुलन, साइट त्वरक, SSL ऑफ़लोडिंग, और वेब एप्लिकेशन फ़ायरवॉल (WAF) क्षमताओं जैसे विभिन्न सेवाओं को एकल सेवा में संयोजित करता है। Azure Front Door उपयोगकर्ता के लिए सबसे निकटतम एज स्थान के आधार पर बुद्धिमान रूटिंग प्रदान करता है, जिससे प्रदर्शन और विश्वसनीयता सुनिश्चित होती है। इसके अतिरिक्त, यह URL-आधारित रूटिंग, कई साइट होस्टिंग, सत्र संबंधी अनुकूलता, और एप्लिकेशन स्तर की सुरक्षा प्रदान करता है।

Azure Front Door WAF को वेब-आधारित हमलों से वेब अनुप्रयोगों की सुरक्षा के लिए डिज़ाइन किया गया है बिना बैक-एंड कोड में संशोधन किए। इसमें SQL इंजेक्शन, क्रॉस-साइट स्क्रिप्टिंग, और अन्य सामान्य हमलों जैसे खतरों से सुरक्षा के लिए कस्टम नियम और प्रबंधित नियम सेट शामिल हैं।

उदाहरण:

कल्पना करें कि आपके पास एक वैश्विक रूप से वितरित अनुप्रयोग है जिसमें दुनिया भर में उपयोगकर्ता हैं। आप Azure Front Door का उपयोग करके उपयोगकर्ता अनुरोधों को आपके अनुप्रयोग को होस्ट करने वाले निकटतम क्षेत्रीय डेटा केंद्र की ओर रूट कर सकते हैं, जिससे विलंबता कम होती है, उपयोगकर्ता अनुभव में सुधार होता है और WAF क्षमताओं के साथ वेब हमलों से इसकी रक्षा होती है। यदि किसी विशेष क्षेत्र में डाउनटाइम होता है, तो Azure Front Door स्वचालित रूप से ट्रैफ़िक को अगले सबसे अच्छे स्थान पर रीरूट कर सकता है, जिससे उच्च उपलब्धता सुनिश्चित होती है।

Enumeration

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Azure Front Door Instances
Get-AzFrontDoor

# List Front Door WAF Policies
Get-AzFrontDoorWafPolicy -Name <policyName> -ResourceGroupName <resourceGroupName>

Azure Application Gateway और Azure Application Gateway WAF

Azure Application Gateway एक वेब ट्रैफिक लोड बैलेंसर है जो आपको अपने वेब अनुप्रयोगों के लिए ट्रैफिक प्रबंधित करने की अनुमति देता है। यह लेयर 7 लोड बैलेंसिंग, SSL टर्मिनेशन, और वेब एप्लिकेशन फ़ायरवॉल (WAF) क्षमताएँ Application Delivery Controller (ADC) के रूप में सेवा में प्रदान करता है। मुख्य विशेषताओं में URL-आधारित रूटिंग, कुकी-आधारित सत्र संबंध, और सुरक्षित सॉकेट्स लेयर (SSL) ऑफ़लोडिंग शामिल हैं, जो उन अनुप्रयोगों के लिए महत्वपूर्ण हैं जिन्हें जटिल लोड-बैलेंसिंग क्षमताओं की आवश्यकता होती है जैसे वैश्विक रूटिंग और पथ-आधारित रूटिंग।

उदाहरण:

एक परिदृश्य पर विचार करें जहाँ आपके पास एक ई-कॉमर्स वेबसाइट है जिसमें विभिन्न कार्यों के लिए कई उपडोमेन शामिल हैं, जैसे उपयोगकर्ता खाते और भुगतान प्रसंस्करण। Azure Application Gateway URL पथ के आधार पर उपयुक्त वेब सर्वरों के लिए ट्रैफिक को रूट कर सकता है। उदाहरण के लिए, example.com/accounts पर ट्रैफिक को उपयोगकर्ता खातों की सेवा की ओर निर्देशित किया जा सकता है, और example.com/pay पर ट्रैफिक को भुगतान प्रसंस्करण सेवा की ओर निर्देशित किया जा सकता है। और WAF क्षमताओं का उपयोग करके अपने वेबसाइट को हमलों से सुरक्षित करें।

Enumeration

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

# List the Web Application Firewall configurations for your Application Gateways
(Get-AzApplicationGateway -Name <AppGatewayName> -ResourceGroupName <ResourceGroupName>).WebApplicationFirewallConfiguration

Azure Hub, Spoke & VNet Peering

VNet Peering एक नेटवर्किंग फीचर है जो Azure में विभिन्न वर्चुअल नेटवर्क (VNets) को सीधे और निर्बाध रूप से जोड़ने की अनुमति देता है। VNet पीयरिंग के माध्यम से, एक VNet में संसाधन दूसरे VNet में संसाधनों के साथ निजी IP पते का उपयोग करके संवाद कर सकते हैं, जैसे कि वे एक ही नेटवर्क में हों। VNet Peering को ऑन-प्रेम नेटवर्क के साथ भी उपयोग किया जा सकता है साइट-टू-साइट VPN या Azure ExpressRoute सेटअप करके।

Azure Hub और Spoke एक नेटवर्क टोपोलॉजी है जिसका उपयोग Azure में नेटवर्क ट्रैफ़िक को प्रबंधित और व्यवस्थित करने के लिए किया जाता है। "हब" एक केंद्रीय बिंदु है जो विभिन्न "स्पोक्स" के बीच ट्रैफ़िक को नियंत्रित और रूट करता है। हब में आमतौर पर साझा सेवाएँ होती हैं जैसे नेटवर्क वर्चुअल एप्लायंसेस (NVAs), Azure VPN गेटवे, Azure फ़ायरवॉल, या Azure बैस्टियन। "स्पोक्स" वे VNets हैं जो कार्यभार को होस्ट करते हैं और VNet पीयरिंग का उपयोग करके हब से कनेक्ट होते हैं, जिससे उन्हें हब के भीतर साझा सेवाओं का लाभ उठाने की अनुमति मिलती है। यह मॉडल साफ नेटवर्क लेआउट को बढ़ावा देता है, जिससे जटिलता कम होती है क्योंकि यह विभिन्न VNets के बीच कई कार्यभार के लिए सामान्य सेवाओं को केंद्रीकृत करता है।

Azure में VNET पेयरिंग गैर-परिवर्तनीय है, जिसका अर्थ है कि यदि स्पोक 1 स्पोक 2 से जुड़ा है और स्पोक 2 स्पोक 3 से जुड़ा है, तो स्पोक 1 सीधे स्पोक 3 से बात नहीं कर सकता।

उदाहरण:

कल्पना करें कि एक कंपनी में अलग-अलग विभाग हैं जैसे बिक्री, मानव संसाधन, और विकास, प्रत्येक के पास अपना खुद का VNet (स्पोक्स) है। इन VNets को साझा संसाधनों तक पहुँच की आवश्यकता होती है जैसे एक केंद्रीय डेटाबेस, एक फ़ायरवॉल, और एक इंटरनेट गेटवे, जो सभी दूसरे VNet (हब) में स्थित हैं। हब और स्पोक मॉडल का उपयोग करके, प्रत्येक विभाग साझा संसाधनों से सुरक्षित रूप से कनेक्ट कर सकता है हब VNet के माध्यम से बिना उन संसाधनों को सार्वजनिक इंटरनेट पर उजागर किए या कई कनेक्शनों के साथ एक जटिल नेटवर्क संरचना बनाए बिना।

Enumeration

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List all VNets in your subscription
Get-AzVirtualNetwork

# List VNet peering connections for a given VNet
(Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName>).VirtualNetworkPeerings

# List Shared Resources (e.g., Azure Firewall) in the Hub
Get-AzFirewall

साइट-से-साइट वीपीएन

Azure में एक साइट-से-साइट वीपीएन आपको अपने ऑन-प्रिमाइसेस नेटवर्क को अपने Azure वर्चुअल नेटवर्क (VNet) से कनेक्ट करने की अनुमति देता है, जिससे Azure के भीतर VMs जैसे संसाधन आपके स्थानीय नेटवर्क पर होने का आभास देते हैं। यह कनेक्शन एक वीपीएन गेटवे के माध्यम से स्थापित किया जाता है जो दोनों नेटवर्कों के बीच ट्रैफ़िक को एन्क्रिप्ट करता है।

उदाहरण:

एक व्यवसाय जिसका मुख्य कार्यालय न्यूयॉर्क में स्थित है, एक ऑन-प्रिमाइसेस डेटा सेंटर है जिसे Azure में अपने VNet से सुरक्षित रूप से कनेक्ट करने की आवश्यकता है, जो इसके वर्चुअलाइज्ड वर्कलोड्स को होस्ट करता है। एक साइट-से-साइट वीपीएन सेटअप करके, कंपनी ऑन-प्रिमाइसेस सर्वरों और Azure VMs के बीच एन्क्रिप्टेड कनेक्टिविटी सुनिश्चित कर सकती है, जिससे दोनों वातावरणों में संसाधनों को सुरक्षित रूप से एक्सेस किया जा सके जैसे कि वे एक ही स्थानीय नेटवर्क में हों।

गणना

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

# List VPN Gateways
Get-AzVirtualNetworkGateway -ResourceGroupName <ResourceGroupName>

# List VPN Connections
Get-AzVirtualNetworkGatewayConnection -ResourceGroupName <ResourceGroupName>

Azure ExpressRoute

Azure ExpressRoute एक सेवा है जो आपके ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर और Azure डेटा केंद्रों के बीच एक निजी, समर्पित, उच्च-गति कनेक्शन प्रदान करती है। यह कनेक्शन एक कनेक्टिविटी प्रदाता के माध्यम से बनाया जाता है, जो सार्वजनिक इंटरनेट को बायपास करता है और सामान्य इंटरनेट कनेक्शनों की तुलना में अधिक विश्वसनीयता, तेज गति, कम विलंबता और उच्च सुरक्षा प्रदान करता है।

उदाहरण:

एक बहुराष्ट्रीय निगम को उच्च मात्रा के डेटा और उच्च थ्रूपुट की आवश्यकता के कारण अपने Azure सेवाओं के लिए एक संगत और विश्वसनीय कनेक्शन की आवश्यकता होती है। कंपनी अपने ऑन-प्रिमाइसेस डेटा केंद्र को Azure से सीधे कनेक्ट करने के लिए Azure ExpressRoute का विकल्प चुनती है, जिससे बड़े पैमाने पर डेटा ट्रांसफर, जैसे दैनिक बैकअप और वास्तविक समय डेटा एनालिटिक्स, को बेहतर गोपनीयता और गति के साथ सुगम बनाया जा सके।

Enumeration

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table

# List ExpressRoute Circuits
Get-AzExpressRouteCircuit

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
हमारे 💬 Discord समूह या telegram समूह में शामिल हों या हमारा अनुसरण करें Twitter 🐦 @hacktricks_live.
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।

PreviousAz - Virtual Machines & Network NextAz - Permissions for a Pentest

Last updated 1 day ago