GCP - VPC & Networking
Last updated
Last updated
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
VPCs में Firewall नियम होते हैं जो VPC में आने वाले ट्रैफ़िक की अनुमति देते हैं। VPCs में subnetworks भी होते हैं जहाँ virtual machines connected होने वाली हैं। AWS की तुलना में, Firewall AWS Security Groups और NACLs के सबसे करीब होगा, लेकिन इस मामले में ये VPC में परिभाषित होते हैं और प्रत्येक उदाहरण में नहीं।
Compute Instances subnetworks से जुड़े होते हैं जो VPCs का हिस्सा होते हैं (Virtual Private Clouds). GCP में सुरक्षा समूह नहीं होते, वहाँ VPC firewalls होते हैं जिनके नियम इस नेटवर्क स्तर पर परिभाषित होते हैं लेकिन प्रत्येक VM Instance पर लागू होते हैं।
एक VPC में कई subnetworks हो सकते हैं। प्रत्येक subnetwork 1 क्षेत्र में है।
डिफ़ॉल्ट रूप से, प्रत्येक नेटवर्क में दो implied firewall rules होते हैं: allow outbound और deny inbound।
जब एक GCP प्रोजेक्ट बनाया जाता है, तो एक VPC जिसे default कहा जाता है, भी बनाया जाता है, जिसमें निम्नलिखित फ़ायरवॉल नियम होते हैं:
default-allow-internal: default नेटवर्क पर अन्य उदाहरणों से सभी ट्रैफ़िक की अनुमति दें
default-allow-ssh: हर जगह से 22 की अनुमति दें
default-allow-rdp: हर जगह से 3389 की अनुमति दें
default-allow-icmp: हर जगह से पिंग की अनुमति दें
जैसा कि आप देख सकते हैं, firewall rules internal IP addresses के लिए अधिक उदार होते हैं। डिफ़ॉल्ट VPC Compute Instances के बीच सभी ट्रैफ़िक की अनुमति देता है।
डिफ़ॉल्ट VPC या नए VPCs के लिए अधिक Firewall rules बनाए जा सकते हैं। Firewall rules को निम्नलिखित methods के माध्यम से उदाहरणों पर लागू किया जा सकता है:
एक VPC के भीतर सभी उदाहरण
दुर्भाग्यवश, इंटरनेट पर खुले पोर्ट वाले सभी Compute Instances को निकालने के लिए कोई सरल gcloud कमांड नहीं है। आपको फ़ायरवॉल नियमों, नेटवर्क टैग, सेवा खातों और उदाहरणों के बीच कनेक्शन बनाना होगा।
इस प्रक्रिया को इस पायथन स्क्रिप्ट का उपयोग करके स्वचालित किया गया था जो निम्नलिखित को निर्यात करेगा:
CSV फ़ाइल जो उदाहरण, सार्वजनिक IP, अनुमत TCP, अनुमत UDP दिखाती है
nmap स्कैन जो सार्वजनिक इंटरनेट (0.0.0.0/0) से आने वाले अनुमत पोर्ट पर सभी उदाहरणों को लक्षित करता है
masscan जो उन उदाहरणों की पूर्ण TCP रेंज को लक्षित करता है जो सार्वजनिक इंटरनेट (0.0.0.0/0) से सभी TCP पोर्ट की अनुमति देते हैं
हायरार्किकल फ़ायरवॉल नीतियाँ आपको अपने संगठन में एक सुसंगत फ़ायरवॉल नीति बनाने और लागू करने की अनुमति देती हैं। आप हायरार्किकल फ़ायरवॉल नीतियों को पूरे संगठन या व्यक्तिगत फोल्डरों पर असाइन कर सकते हैं। इन नीतियों में नियम होते हैं जो स्पष्ट रूप से कनेक्शनों को अस्वीकार या अनुमति दे सकते हैं।
आप फ़ायरवॉल नीतियों को अलग-अलग चरणों के रूप में बनाते और लागू करते हैं। आप resource hierarchy के संगठन या फ़ोल्डर नोड्स पर फ़ायरवॉल नीतियाँ बना और लागू कर सकते हैं। एक फ़ायरवॉल नीति नियम कनेक्शनों को ब्लॉक कर सकता है, कनेक्शनों की अनुमति दे सकता है, या फ़ायरवॉल नियम मूल्यांकन को निम्न-स्तरीय फ़ोल्डरों या VPC नेटवर्क में परिभाषित VPC फ़ायरवॉल नियमों पर स्थगित कर सकता है।
डिफ़ॉल्ट रूप से, सभी हायरार्किकल फ़ायरवॉल नीति नियम उन सभी VMs पर लागू होते हैं जो उस संगठन या फ़ोल्डर के तहत सभी प्रोजेक्ट्स में हैं जहाँ नीति जुड़ी हुई है। हालाँकि, आप लक्षित नेटवर्क या लक्षित सेवा खातों को निर्दिष्ट करके यह सीमित कर सकते हैं कि कौन से VMs को एक निश्चित नियम प्राप्त होता है।
आप यहाँ पढ़ सकते हैं कि हायरार्किकल फ़ायरवॉल नीति कैसे बनाएं।
Org: संगठन को असाइन की गई फ़ायरवॉल नीतियाँ
Folder: फ़ोल्डर को असाइन की गई फ़ायरवॉल नीतियाँ
VPC: VPC को असाइन किए गए फ़ायरवॉल नियम
Global: फ़ायरवॉल नियमों का एक और प्रकार जिसे VPCs पर असाइन किया जा सकता है
Regional: VM के NIC और VM के क्षेत्र के VPC नेटवर्क से जुड़े फ़ायरवॉल नियम।
दो वर्चुअल प्राइवेट क्लाउड (VPC) नेटवर्क को जोड़ने की अनुमति देता है ताकि प्रत्येक नेटवर्क में संसाधन एक-दूसरे के साथ संवाद कर सकें। Peered VPC नेटवर्क एक ही प्रोजेक्ट में, एक ही संगठन के विभिन्न प्रोजेक्ट्स में, या विभिन्न संगठनों के विभिन्न प्रोजेक्ट्स में हो सकते हैं।
इनकी आवश्यकता वाले अनुमतियाँ हैं:
compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
