GCP - VPC & Networking
Last updated
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
GCP Compute Networking in a Nutshell
VPCs में Firewall नियम होते हैं जो VPC में आने वाले ट्रैफ़िक की अनुमति देते हैं। VPCs में subnetworks भी होते हैं जहाँ virtual machines connected होने वाली हैं। AWS की तुलना में, Firewall AWS Security Groups और NACLs के सबसे करीब होगा, लेकिन इस मामले में ये VPC में परिभाषित होते हैं और प्रत्येक उदाहरण में नहीं।
VPC, Subnetworks & Firewalls in GCP
Compute Instances subnetworks से जुड़े होते हैं जो VPCs का हिस्सा होते हैं (Virtual Private Clouds). GCP में सुरक्षा समूह नहीं होते, वहाँ VPC firewalls होते हैं जिनके नियम इस नेटवर्क स्तर पर परिभाषित होते हैं लेकिन प्रत्येक VM Instance पर लागू होते हैं।
Subnetworks
एक VPC में कई subnetworks हो सकते हैं। प्रत्येक subnetwork 1 क्षेत्र में है।
Firewalls
डिफ़ॉल्ट रूप से, प्रत्येक नेटवर्क में दो implied firewall rules होते हैं: allow outbound और deny inbound।
जब एक GCP प्रोजेक्ट बनाया जाता है, तो एक VPC जिसे default कहा जाता है, भी बनाया जाता है, जिसमें निम्नलिखित फ़ायरवॉल नियम होते हैं:
default-allow-internal:
defaultनेटवर्क पर अन्य उदाहरणों से सभी ट्रैफ़िक की अनुमति देंdefault-allow-ssh: हर जगह से 22 की अनुमति दें
default-allow-rdp: हर जगह से 3389 की अनुमति दें
default-allow-icmp: हर जगह से पिंग की अनुमति दें
जैसा कि आप देख सकते हैं, firewall rules internal IP addresses के लिए अधिक उदार होते हैं। डिफ़ॉल्ट VPC Compute Instances के बीच सभी ट्रैफ़िक की अनुमति देता है।
डिफ़ॉल्ट VPC या नए VPCs के लिए अधिक Firewall rules बनाए जा सकते हैं। Firewall rules को निम्नलिखित methods के माध्यम से उदाहरणों पर लागू किया जा सकता है:
एक VPC के भीतर सभी उदाहरण
दुर्भाग्यवश, इंटरनेट पर खुले पोर्ट वाले सभी Compute Instances को निकालने के लिए कोई सरल gcloud कमांड नहीं है। आपको फ़ायरवॉल नियमों, नेटवर्क टैग, सेवा खातों और उदाहरणों के बीच कनेक्शन बनाना होगा।
इस प्रक्रिया को इस python script का उपयोग करके स्वचालित किया गया था जो निम्नलिखित को निर्यात करेगा:
CSV फ़ाइल जो उदाहरण, सार्वजनिक IP, अनुमत TCP, अनुमत UDP दिखाती है
nmap स्कैन जो सार्वजनिक इंटरनेट (0.0.0.0/0) से अनुमति प्राप्त पोर्ट पर सभी उदाहरणों को लक्षित करता है
masscan जो उन उदाहरणों की पूर्ण TCP रेंज को लक्षित करता है जो सार्वजनिक इंटरनेट (0.0.0.0/0) से सभी TCP पोर्ट की अनुमति देते हैं
Hierarchical Firewall Policies
Hierarchical firewall policies आपको अपने संगठन में एक सुसंगत फ़ायरवॉल नीति बनाने और लागू करने की अनुमति देती हैं। आप hierarchical firewall policies को संगठन के समग्र रूप में या व्यक्तिगत folders पर असाइन कर सकते हैं। ये नीतियाँ नियमों को शामिल करती हैं जो स्पष्ट रूप से कनेक्शनों को अस्वीकार या अनुमति दे सकती हैं।
आप फ़ायरवॉल नीतियों को अलग-अलग चरणों के रूप में बनाते और लागू करते हैं। आप resource hierarchy के organization या folder nodes पर फ़ायरवॉल नीतियाँ बना और लागू कर सकते हैं। एक फ़ायरवॉल नीति नियम कनेक्शनों को ब्लॉक, कनेक्शनों की अनुमति, या फ़ायरवॉल नियम मूल्यांकन को निम्न स्तर के फ़ोल्डरों या VPC नेटवर्क में परिभाषित VPC फ़ायरवॉल नियमों पर स्थगित कर सकता है।
डिफ़ॉल्ट रूप से, सभी hierarchical firewall policy नियम सभी परियोजनाओं में सभी VMs पर लागू होते हैं जहाँ नीति जुड़ी होती है। हालाँकि, आप target networks या target service accounts को निर्दिष्ट करके यह सीमित कर सकते हैं कि कौन से VMs को एक निश्चित नियम प्राप्त होता है।
आप यहाँ पढ़ सकते हैं कि Hierarchical Firewall Policy कैसे बनाएं।
Firewall Rules Evaluation
Org: संगठन को असाइन की गई फ़ायरवॉल नीतियाँ
Folder: फ़ोल्डर को असाइन की गई फ़ायरवॉल नीतियाँ
VPC: VPC को असाइन किए गए फ़ायरवॉल नियम
Global: फ़ायरवॉल नियमों का एक और प्रकार जो VPCs को असाइन किया जा सकता है
Regional: VM के NIC और VM के क्षेत्र के VPC नेटवर्क से जुड़े फ़ायरवॉल नियम।
VPC Network Peering
दो Virtual Private Cloud (VPC) नेटवर्क को जोड़ने की अनुमति देता है ताकि प्रत्येक नेटवर्क में संसाधन एक-दूसरे के साथ संवाद कर सकें। Peered VPC नेटवर्क एक ही प्रोजेक्ट में, एक ही संगठन के विभिन्न प्रोजेक्टों में, या विभिन्न संगठनों के विभिन्न प्रोजेक्टों में हो सकते हैं।
इनकी आवश्यकता वाले अनुमतियाँ हैं:
compute.networks.addPeeringcompute.networks.updatePeeringcompute.networks.removePeeringcompute.networks.listPeeringRoutes