AWS - VPC & Networking Basic Information
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
A VPC contains a network CIDR like 10.0.0.0/16 (with its routing table and network ACL).
์ด VPC ๋คํธ์ํฌ๋ ์๋ธ๋คํธ์ํฌ๋ก ๋๋์ด ์์ผ๋ฉฐ, ์๋ธ๋คํธ์ํฌ๋ VPC, ๋ผ์ฐํ ํ ์ด๋ธ ๋ฐ ๋คํธ์ํฌ ACL๊ณผ ์ง์ ์ฐ๊ด๋์ด ์์ต๋๋ค.
๊ทธ ๋ค์, ์๋น์ค(์: EC2 ์ธ์คํด์ค)์ ์ฐ๊ฒฐ๋ ๋คํธ์ํฌ ์ธํฐํ์ด์ค๋ ๋ณด์ ๊ทธ๋ฃน๊ณผ ํจ๊ป ์๋ธ๋คํธ์ํฌ์ ์ฐ๊ฒฐ๋ฉ๋๋ค.
๋ฐ๋ผ์, ๋ณด์ ๊ทธ๋ฃน์ ์๋ธ๋คํธ์ํฌ์ ๊ด๊ณ์์ด ์ฌ์ฉํ๋ ๋คํธ์ํฌ ์ธํฐํ์ด์ค์ ๋ ธ์ถ๋ ํฌํธ๋ฅผ ์ ํํฉ๋๋ค. ๊ทธ๋ฆฌ๊ณ ๋คํธ์ํฌ ACL์ ์ ์ฒด ๋คํธ์ํฌ์ ๋ํ ๋ ธ์ถ๋ ํฌํธ๋ฅผ ์ ํํฉ๋๋ค.
๋ํ, ์ธํฐ๋ท์ ์ ๊ทผํ๊ธฐ ์ํด ํ์ธํด์ผ ํ ๋ช ๊ฐ์ง ํฅ๋ฏธ๋ก์ด ๊ตฌ์ฑ ์์๊ฐ ์์ต๋๋ค:
์๋ธ๋คํธ์ํฌ๋ ๊ณต์ฉ IPv4 ์ฃผ์๋ฅผ ์๋ ํ ๋นํ ์ ์์ต๋๋ค.
IPv4 ์ฃผ์๋ฅผ ์๋ ํ ๋นํ ์ ์๋ ๋คํธ์ํฌ์์ ์์ฑ๋ ์ธ์คํด์ค๋ ํ๋๋ฅผ ๋ฐ์ ์ ์์ต๋๋ค.
์ธํฐ๋ท ๊ฒ์ดํธ์จ์ด๋ VPC์ ์ฐ๊ฒฐ๋์ด์ผ ํฉ๋๋ค.
Egress-only ์ธํฐ๋ท ๊ฒ์ดํธ์จ์ด๋ฅผ ์ฌ์ฉํ ์๋ ์์ต๋๋ค.
ํ๋ผ์ด๋น ์๋ธ๋ท์ NAT ๊ฒ์ดํธ์จ์ด๋ฅผ ๋์ด ํด๋น ํ๋ผ์ด๋น ์๋ธ๋ท์์ ์ธ๋ถ ์๋น์ค์ ์ฐ๊ฒฐํ ์ ์์ง๋ง, ์ธ๋ถ์์ ์ ๊ทผํ ์๋ ์์ต๋๋ค.
NAT ๊ฒ์ดํธ์จ์ด๋ ๊ณต์ฉ(์ธํฐ๋ท ์ ๊ทผ) ๋๋ ํ๋ผ์ด๋น(๋ค๋ฅธ VPC ์ ๊ทผ)์ผ ์ ์์ต๋๋ค.
Amazon Virtual Private Cloud (Amazon VPC)๋ ์ ์ํ ๊ฐ์ ๋คํธ์ํฌ์ AWS ๋ฆฌ์์ค๋ฅผ ์์ํ ์ ์๊ฒ ํด์ค๋๋ค. ์ด ๊ฐ์ ๋คํธ์ํฌ๋ ์ฌ๋ฌ ์๋ธ๋ท, ์ธํฐ๋ท ๊ฒ์ดํธ์จ์ด๋ฅผ ํตํด ์ธํฐ๋ท์ ์ ๊ทผํ๊ณ , ACL, ๋ณด์ ๊ทธ๋ฃน, IP๋ฅผ ๊ฐ์ง๋๋ค...
์๋ธ๋ท์ ๋ ๋์ ์์ค์ ๋ณด์์ ๊ฐํํ๋ ๋ฐ ๋์์ ์ค๋๋ค. ์ ์ฌํ ๋ฆฌ์์ค์ ๋ ผ๋ฆฌ์ ๊ทธ๋ฃนํ๋ ์ธํ๋ผ ์ ๋ฐ์ ๊ฑธ์ณ ๊ด๋ฆฌ์ ์ฉ์ด์ฑ์ ์ ์งํ๋ ๋ฐ๋ ๋์์ด ๋ฉ๋๋ค.
์ ํจํ CIDR์ /16 ๋ท๋ง์คํฌ์์ /28 ๋ท๋ง์คํฌ๊น์ง์ ๋๋ค.
์๋ธ๋ท์ ๋์์ ์๋ก ๋ค๋ฅธ ๊ฐ์ฉ ์์ญ์ ์์ ์ ์์ต๋๋ค.
AWS๋ ๊ฐ ์๋ธ๋ท์ ์ฒซ ์ธ ํธ์คํธ IP ์ฃผ์๋ฅผ ๋ด๋ถ AWS ์ฌ์ฉ์ ์ํด ์์ฝํฉ๋๋ค: ์ฒซ ๋ฒ์งธ ํธ์คํธ ์ฃผ์๋ VPC ๋ผ์ฐํฐ์ ์ฌ์ฉ๋ฉ๋๋ค. ๋ ๋ฒ์งธ ์ฃผ์๋ AWS DNS์ ์์ฝ๋์ด ์์ผ๋ฉฐ, ์ธ ๋ฒ์งธ ์ฃผ์๋ ํฅํ ์ฌ์ฉ์ ์ํด ์์ฝ๋์ด ์์ต๋๋ค.
์ธํฐ๋ท์ ์ง์ ์ ๊ทผํ ์ ์๋ ์๋ธ๋ท์ ๊ณต์ฉ ์๋ธ๋ท์ด๋ผ๊ณ ํ๋ฉฐ, ํ๋ผ์ด๋น ์๋ธ๋ท์ ๊ทธ๋ ์ง ์์ต๋๋ค.
๋ผ์ฐํ ํ ์ด๋ธ์ VPC ๋ด ์๋ธ๋ท์ ํธ๋ํฝ ๋ผ์ฐํ ์ ๊ฒฐ์ ํฉ๋๋ค. ์ด๋ค์ ์ด๋ค ๋คํธ์ํฌ ํธ๋ํฝ์ด ์ธํฐ๋ท์ด๋ VPN ์ฐ๊ฒฐ๋ก ์ ๋ฌ๋๋์ง๋ฅผ ๊ฒฐ์ ํฉ๋๋ค. ์ผ๋ฐ์ ์ผ๋ก ๋ค์์ ๋ํ ์ ๊ทผ์ ์ฐพ์ ์ ์์ต๋๋ค:
๋ก์ปฌ VPC
NAT
์ธํฐ๋ท ๊ฒ์ดํธ์จ์ด / Egress-only ์ธํฐ๋ท ๊ฒ์ดํธ์จ์ด (VPC๊ฐ ์ธํฐ๋ท์ ์ ๊ทผํ ์ ์๋๋ก ํ์ํฉ๋๋ค).
์๋ธ๋ท์ ๊ณต์ฉ์ผ๋ก ๋ง๋ค๊ธฐ ์ํด์๋ ์ธํฐ๋ท ๊ฒ์ดํธ์จ์ด๋ฅผ ์์ฑํ๊ณ VPC์ ์ฐ๊ฒฐํด์ผ ํฉ๋๋ค.
VPC ์๋ํฌ์ธํธ (ํ๋ผ์ด๋น ๋คํธ์ํฌ์์ S3์ ์ ๊ทผํ๊ธฐ ์ํด)
๋ค์ ์ด๋ฏธ์ง๋ฅผ ํตํด ๊ธฐ๋ณธ ๊ณต์ฉ ๋คํธ์ํฌ์ ํ๋ผ์ด๋น ๋คํธ์ํฌ์ ์ฐจ์ด๋ฅผ ํ์ธํ ์ ์์ต๋๋ค:
๋คํธ์ํฌ ์ ๊ทผ ์ ์ด ๋ชฉ๋ก (ACLs): ๋คํธ์ํฌ ACL์ ์๋ธ๋ท์ผ๋ก ๋ค์ด์ค๊ณ ๋๊ฐ๋ ๋คํธ์ํฌ ํธ๋ํฝ์ ์ ์ดํ๋ ๋ฐฉํ๋ฒฝ ๊ท์น์ ๋๋ค. ํน์ IP ์ฃผ์๋ ๋ฒ์์ ๋ํ ํธ๋ํฝ์ ํ์ฉํ๊ฑฐ๋ ๊ฑฐ๋ถํ๋ ๋ฐ ์ฌ์ฉํ ์ ์์ต๋๋ค.
๋ณด์ ๊ทธ๋ฃน์ ์ฌ์ฉํ์ฌ ์ ๊ทผ์ ํ์ฉ/๊ฑฐ๋ถํ๋ ๊ฒ์ด ๊ฐ์ฅ ์ผ๋ฐ์ ์ด์ง๋ง, ์ด๋ ์ด๋ฏธ ์ค์ ๋ ๋ฆฌ๋ฒ์ค ์ ธ์ ์์ ํ ์ฐจ๋จํ๋ ์ ์ผํ ๋ฐฉ๋ฒ์ ๋๋ค. ๋ณด์ ๊ทธ๋ฃน์ ์์ ๋ ๊ท์น์ ์ด๋ฏธ ์ค์ ๋ ์ฐ๊ฒฐ์ ์ค๋จํ์ง ์์ต๋๋ค.
๊ทธ๋ฌ๋ ์ด๋ ์ ์ฒด ์๋ธ๋คํธ์ํฌ์ ์ ์ฉ๋๋ฏ๋ก, ํ์ํ ๊ธฐ๋ฅ์ด ๋ฐฉํด๋ฐ์ ์ ์์ผ๋ ์ฃผ์ํด์ผ ํฉ๋๋ค.
๋ณด์ ๊ทธ๋ฃน์ VPC ๋ด ์ธ์คํด์ค์ ๋ํ ์ธ๋ฐ์ด๋ ๋ฐ ์์๋ฐ์ด๋ ๋คํธ์ํฌ ํธ๋ํฝ์ ์ ์ดํ๋ ๊ฐ์ ๋ฐฉํ๋ฒฝ์ ๋๋ค. 1 SG์ M ์ธ์คํด์ค์ ๊ด๊ณ(๋ณดํต 1 ๋ 1). ์ผ๋ฐ์ ์ผ๋ก ์ด๋ ์ธ์คํด์ค์์ ์ํํ ํฌํธ๋ฅผ ์ด๊ธฐ ์ํด ์ฌ์ฉ๋ฉ๋๋ค. ์๋ฅผ ๋ค์ด ํฌํธ 22์ ๊ฐ์ ๊ฒฝ์ฐ์ ๋๋ค:
_Elastic IP ์ฃผ์_๋ ๋์ ํด๋ผ์ฐ๋ ์ปดํจํ ์ ์ํด ์ค๊ณ๋ ์ ์ IPv4 ์ฃผ์์ ๋๋ค. Elastic IP ์ฃผ์๋ AWS ๊ณ์ ์ ํ ๋น๋๋ฉฐ, ์ด๋ฅผ ํด์ ํ ๋๊น์ง ๊ทํ์ ๊ฒ์ ๋๋ค. Elastic IP ์ฃผ์๋ฅผ ์ฌ์ฉํ๋ฉด ์ธ์คํด์ค๋ ์ํํธ์จ์ด์ ์คํจ๋ฅผ ๋ง์คํนํ์ฌ ์ฃผ์๋ฅผ ๊ณ์ ๋ด ๋ค๋ฅธ ์ธ์คํด์ค๋ก ์ ์ํ๊ฒ ์ฌ๋งคํํ ์ ์์ต๋๋ค.
๊ธฐ๋ณธ์ ์ผ๋ก ๋ชจ๋ ์๋ธ๋ท์ ๊ณต์ฉ IP ์ฃผ์์ ์๋ ํ ๋น์ด ๊บผ์ ธ ์์ง๋ง ์ด๋ฅผ ์ผค ์ ์์ต๋๋ค.
๋ผ์ฐํ ํ ์ด๋ธ ๋ด์ ๋ก์ปฌ ๋ผ์ฐํธ๋ VPC ์๋ธ๋ท ๊ฐ์ ํต์ ์ ๊ฐ๋ฅํ๊ฒ ํฉ๋๋ค.
์๋ธ๋ท์ ๋ค๋ฅธ ์๋ธ๋ท๊ณผ ์ฐ๊ฒฐํ๋ ๊ฒฝ์ฐ, ๋ค๋ฅธ ์๋ธ๋ท๊ณผ ์ฐ๊ฒฐ๋ ์๋ธ๋ท์ ์ ๊ทผํ ์ ์์ผ๋ฉฐ, ์ง์ ์ฐ๊ฒฐ์ ์์ฑํด์ผ ํฉ๋๋ค. ์ด๋ ์ธํฐ๋ท ๊ฒ์ดํธ์จ์ด์๋ ์ ์ฉ๋ฉ๋๋ค. ์ธํฐ๋ท์ ์ ๊ทผํ๊ธฐ ์ํด ์๋ธ๋ท ์ฐ๊ฒฐ์ ํตํด ๊ฐ ์ ์์ผ๋ฉฐ, ์ธํฐ๋ท ๊ฒ์ดํธ์จ์ด๋ฅผ ์๋ธ๋ท์ ํ ๋นํด์ผ ํฉ๋๋ค.
VPC ํผ์ด๋ง์ ํตํด ๋ ๊ฐ ์ด์์ VPC๋ฅผ ์๋ก ์ฐ๊ฒฐํ ์ ์์ผ๋ฉฐ, IPV4 ๋๋ IPV6๋ฅผ ์ฌ์ฉํ์ฌ ๋ง์น ๋์ผํ ๋คํธ์ํฌ์ ์ผ๋ถ์ธ ๊ฒ์ฒ๋ผ ์ฐ๊ฒฐํ ์ ์์ต๋๋ค.
ํผ์ด ์ฐ๊ฒฐ์ด ์ค์ ๋๋ฉด, ํ VPC์ ๋ฆฌ์์ค๊ฐ ๋ค๋ฅธ VPC์ ๋ฆฌ์์ค์ ์ ๊ทผํ ์ ์์ต๋๋ค. VPC ๊ฐ์ ์ฐ๊ฒฐ์ ๊ธฐ์กด AWS ๋คํธ์ํฌ ์ธํ๋ผ๋ฅผ ํตํด ๊ตฌํ๋๋ฏ๋ก, ๊ณ ๊ฐ์ฉ์ฑ์ด ๋ณด์ฅ๋๋ฉฐ ๋์ญํญ ๋ณ๋ชฉ ํ์์ด ์์ต๋๋ค. ํผ์ด ์ฐ๊ฒฐ์ ๋ง์น ๋์ผํ ๋คํธ์ํฌ์ ์ผ๋ถ์ธ ๊ฒ์ฒ๋ผ ์๋ํ๋ฏ๋ก, ์ฌ์ฉํ ์ ์๋ CIDR ๋ธ๋ก ๋ฒ์์ ์ ํ์ด ์์ต๋๋ค. VPC์ ๊ฒน์น๊ฑฐ๋ ์ค๋ณต๋ CIDR ๋ฒ์๊ฐ ์๋ ๊ฒฝ์ฐ, VPC๋ฅผ ํผ์ด๋งํ ์ ์์ต๋๋ค. ๊ฐ AWS VPC๋ ์์ ์ ํผ์ด์๋ง ํต์ ํฉ๋๋ค. ์๋ฅผ ๋ค์ด, VPC 1๊ณผ VPC 2 ๊ฐ์ ํผ์ด๋ง ์ฐ๊ฒฐ์ด ์๊ณ , VPC 2์ VPC 3 ๊ฐ์ ๋ ๋ค๋ฅธ ์ฐ๊ฒฐ์ด ์๋ ๊ฒฝ์ฐ, VPC 1๊ณผ VPC 2๋ ์๋ก ์ง์ ํต์ ํ ์ ์์ผ๋ฉฐ, VPC 2์ VPC 3๋ ๋ง์ฐฌ๊ฐ์ง์ ๋๋ค. ๊ทธ๋ฌ๋ VPC 1๊ณผ VPC 3์ ํต์ ํ ์ ์์ต๋๋ค. ํ VPC๋ฅผ ํตํด ๋ค๋ฅธ VPC์ ์ ๊ทผํ ์ ์์ต๋๋ค.
VPC ๋ด์์ ์๋ฐฑ ๊ฐ ๋๋ ์์ฒ ๊ฐ์ ๋ฆฌ์์ค๊ฐ ์๋ก ๋ค๋ฅธ ๊ณต์ฉ ๋ฐ ํ๋ผ์ด๋น ์๋ธ๋ท ๊ฐ์ ํต์ ํ๊ณ , VPC ํผ์ด๋ง ์ฐ๊ฒฐ์ ํตํด ์๋ก ๋ค๋ฅธ VPC ๊ฐ์ ํต์ ํ ์ ์์ต๋๋ค. VPC Flow Logs๋ฅผ ์ฌ์ฉํ๋ฉด VPC ๋ด ๋ฆฌ์์ค์ ๋คํธ์ํฌ ์ธํฐํ์ด์ค ๊ฐ์ ํ๋ฅด๋ IP ํธ๋ํฝ ์ ๋ณด๋ฅผ ์บก์ฒํ ์ ์์ต๋๋ค.
S3 ์ ๊ทผ ๋ก๊ทธ ๋ฐ CloudFront ์ ๊ทผ ๋ก๊ทธ์ ๋ฌ๋ฆฌ, VPC Flow Logs์ ์ํด ์์ฑ๋ ๋ก๊ทธ ๋ฐ์ดํฐ๋ S3์ ์ ์ฅ๋์ง ์์ต๋๋ค. ๋์ , ์บก์ฒ๋ ๋ก๊ทธ ๋ฐ์ดํฐ๋ CloudWatch ๋ก๊ทธ๋ก ์ ์ก๋ฉ๋๋ค.
์ ํ ์ฌํญ:
VPC ํผ์ด๋ง ์ฐ๊ฒฐ์ ์คํํ๋ ๊ฒฝ์ฐ, ๋์ผํ ๊ณ์ ๋ด์ ํผ์ด VPC์ ํ๋ฆ ๋ก๊ทธ๋ง ๋ณผ ์ ์์ต๋๋ค.
EC2-Classic ํ๊ฒฝ ๋ด์์ ๋ฆฌ์์ค๋ฅผ ์คํํ๋ ๊ฒฝ์ฐ, ๋ถํํ๋ ํด๋น ์ธํฐํ์ด์ค์์ ์ ๋ณด๋ฅผ ๊ฒ์ํ ์ ์์ต๋๋ค.
VPC Flow Log๊ฐ ์์ฑ๋ ํ์๋ ๋ณ๊ฒฝํ ์ ์์ต๋๋ค. VPC Flow Log ๊ตฌ์ฑ์ ๋ณ๊ฒฝํ๋ ค๋ฉด ์ญ์ ํ ํ ์๋ก ์์ฑํด์ผ ํฉ๋๋ค.
๋ค์ ํธ๋ํฝ์ ๋ก๊ทธ์ ์ํด ๋ชจ๋ํฐ๋ง๋๊ฑฐ๋ ์บก์ฒ๋์ง ์์ต๋๋ค. VPC ๋ด์ DHCP ํธ๋ํฝ, Amazon DNS ์๋ฒ๋ฅผ ๋์์ผ๋ก ํ๋ ์ธ์คํด์ค์ ํธ๋ํฝ.
VPC ๊ธฐ๋ณธ ๋ผ์ฐํฐ์ IP ์ฃผ์๋ก ํฅํ๋ ํธ๋ํฝ๊ณผ ๋ค์ ์ฃผ์๋ก์ ํธ๋ํฝ, 169.254.169.254๋ ์ธ์คํด์ค ๋ฉํ๋ฐ์ดํฐ ์์ง์ ์ฌ์ฉ๋๋ฉฐ, 169.254.169.123๋ Amazon Time Sync Service์ ์ฌ์ฉ๋ฉ๋๋ค.
Windows ์ธ์คํด์ค์ Amazon Windows ํ์ฑํ ๋ผ์ด์ผ์ค์ ๊ด๋ จ๋ ํธ๋ํฝ
๋คํธ์ํฌ ๋ก๋ ๋ฐธ๋ฐ์ ์ธํฐํ์ด์ค์ ์๋ํฌ์ธํธ ๋คํธ์ํฌ ์ธํฐํ์ด์ค ๊ฐ์ ํธ๋ํฝ
CloudWatch ๋ก๊ทธ ๊ทธ๋ฃน์ ๋ฐ์ดํฐ๋ฅผ ๊ฒ์ํ๋ ๊ฐ ๋คํธ์ํฌ ์ธํฐํ์ด์ค๋ ๋ค๋ฅธ ๋ก๊ทธ ์คํธ๋ฆผ์ ์ฌ์ฉํฉ๋๋ค. ๊ทธ๋ฆฌ๊ณ ์ด๋ฌํ ์คํธ๋ฆผ ๋ด์๋ ๋ก๊ทธ ํญ๋ชฉ์ ๋ด์ฉ์ ๋ณด์ฌ์ฃผ๋ ํ๋ฆ ๋ก๊ทธ ์ด๋ฒคํธ ๋ฐ์ดํฐ๊ฐ ํฌํจ๋ฉ๋๋ค. ์ด๋ฌํ ๋ก๊ทธ๋ ์ฝ 10~15๋ถ ๋์์ ๋ฐ์ดํฐ ์บก์ฒ๋ฅผ ์ํํฉ๋๋ค.
Customer Gateway:
Customer Gateway๋ VPN ์ฐ๊ฒฐ์ ๊ทํ ์ธก์ ๋ํ๋ด๊ธฐ ์ํด AWS์์ ์์ฑํ๋ ๋ฆฌ์์ค์ ๋๋ค.
์ด๋ ๋ณธ์ง์ ์ผ๋ก ์ฌ์ดํธ ๊ฐ VPN ์ฐ๊ฒฐ์ ๊ทํ ์ธก์ ์๋ ๋ฌผ๋ฆฌ์ ์ฅ์น ๋๋ ์ํํธ์จ์ด ์ ํ๋ฆฌ์ผ์ด์ ์ ๋๋ค.
๋ผ์ฐํ ์ ๋ณด๋ฅผ ์ ๊ณตํ๊ณ ๋คํธ์ํฌ ์ฅ์น(์: ๋ผ์ฐํฐ ๋๋ ๋ฐฉํ๋ฒฝ)์ ๊ณต์ฉ IP ์ฃผ์๋ฅผ AWS์ ์ ๊ณตํ์ฌ Customer Gateway๋ฅผ ์์ฑํฉ๋๋ค.
VPN ์ฐ๊ฒฐ ์ค์ ์ ์ํ ์ฐธ์กฐ ์ง์ ์ญํ ์ ํ๋ฉฐ ์ถ๊ฐ ์๊ธ์ด ๋ฐ์ํ์ง ์์ต๋๋ค.
Virtual Private Gateway:
Virtual Private Gateway (VPG)๋ ์ฌ์ดํธ ๊ฐ VPN ์ฐ๊ฒฐ์ Amazon ์ธก์ ์๋ VPN ์ง์ค๊ธฐ์ ๋๋ค.
VPC์ ์ฐ๊ฒฐ๋์ด ์์ผ๋ฉฐ VPN ์ฐ๊ฒฐ์ ๋์ ์ญํ ์ ํฉ๋๋ค.
VPG๋ VPN ์ฐ๊ฒฐ์ AWS ์ธก ์๋ํฌ์ธํธ์ ๋๋ค.
VPC์ ์จํ๋ ๋ฏธ์ค ๋คํธ์ํฌ ๊ฐ์ ์์ ํ ํต์ ์ ์ฒ๋ฆฌํฉ๋๋ค.
Site-to-Site VPN Connection:
Site-to-Site VPN ์ฐ๊ฒฐ์ ์จํ๋ ๋ฏธ์ค ๋คํธ์ํฌ๋ฅผ VPC์ ์์ ํ IPsec VPN ํฐ๋์ ํตํด ์ฐ๊ฒฐํฉ๋๋ค.
์ด ์ ํ์ ์ฐ๊ฒฐ์ Customer Gateway์ Virtual Private Gateway๊ฐ ํ์ํฉ๋๋ค.
๋ฐ์ดํฐ ์ผํฐ ๋๋ ๋คํธ์ํฌ์ AWS ํ๊ฒฝ ๊ฐ์ ์์ ํ๊ณ ์์ ์ ์ด๋ฉฐ ์ผ๊ด๋ ํต์ ์ ์ํด ์ฌ์ฉ๋ฉ๋๋ค.
์ผ๋ฐ์ ์ผ๋ก ์ ๊ธฐ์ ์ด๊ณ ์ฅ๊ธฐ์ ์ธ ์ฐ๊ฒฐ์ ์ฌ์ฉ๋๋ฉฐ, ์ฐ๊ฒฐ์ ํตํด ์ ์ก๋ ๋ฐ์ดํฐ ์์ ๋ฐ๋ผ ์๊ธ์ด ๋ถ๊ณผ๋ฉ๋๋ค.
Client VPN Endpoint:
Client VPN ์๋ํฌ์ธํธ๋ ํด๋ผ์ด์ธํธ VPN ์ธ์ ์ ํ์ฑํํ๊ณ ๊ด๋ฆฌํ๊ธฐ ์ํด AWS์์ ์์ฑํ๋ ๋ฆฌ์์ค์ ๋๋ค.
๊ฐ๋ณ ์ฅ์น(์: ๋ ธํธ๋ถ, ์ค๋งํธํฐ ๋ฑ)๊ฐ AWS ๋ฆฌ์์ค ๋๋ ์จํ๋ ๋ฏธ์ค ๋คํธ์ํฌ์ ์์ ํ๊ฒ ์ฐ๊ฒฐํ ์ ์๋๋ก ์ฌ์ฉ๋ฉ๋๋ค.
์ ์ฒด ๋คํธ์ํฌ๋ฅผ ์ฐ๊ฒฐํ๋ ๊ฒ์ด ์๋๋ผ ๊ฐ๋ณ ํด๋ผ์ด์ธํธ๋ฅผ ์ํด ์ค๊ณ๋์๋ค๋ ์ ์์ Site-to-Site VPN๊ณผ ๋ค๋ฆ ๋๋ค.
Client VPN์ ์ฌ์ฉํ๋ฉด ๊ฐ ํด๋ผ์ด์ธํธ ์ฅ์น๊ฐ VPN ํด๋ผ์ด์ธํธ ์ํํธ์จ์ด๋ฅผ ์ฌ์ฉํ์ฌ ์์ ํ ์ฐ๊ฒฐ์ ์ค์ ํฉ๋๋ค.
์จํ๋ ๋ฏธ์ค ๋คํธ์ํฌ๋ฅผ VPC์ ์ฐ๊ฒฐํฉ๋๋ค.
VPN ์ฐ๊ฒฐ: ์จํ๋ ๋ฏธ์ค ์ฅ๋น์ VPC ๊ฐ์ ์์ ํ ์ฐ๊ฒฐ์ ๋๋ค.
VPN ํฐ๋: ๊ณ ๊ฐ ๋คํธ์ํฌ์์ AWS๋ก ๋๋ ๊ทธ ๋ฐ๋๋ก ๋ฐ์ดํฐ๊ฐ ํต๊ณผํ ์ ์๋ ์ํธํ๋ ๋งํฌ์ ๋๋ค.
๊ฐ VPN ์ฐ๊ฒฐ์๋ ๋ ๊ฐ์ VPN ํฐ๋์ด ํฌํจ๋์ด ์์ผ๋ฉฐ, ์ด๋ฅผ ๋์์ ์ฌ์ฉํ์ฌ ๊ณ ๊ฐ์ฉ์ฑ์ ์ ๊ณตํฉ๋๋ค.
Customer gateway: AWS ๋ฆฌ์์ค๋ก, ๊ณ ๊ฐ ๊ฒ์ดํธ์จ์ด ์ฅ์น์ ๋ํ ์ ๋ณด๋ฅผ AWS์ ์ ๊ณตํฉ๋๋ค.
Customer gateway device: ์ฌ์ดํธ ๊ฐ VPN ์ฐ๊ฒฐ์ ๊ทํ ์ธก์ ์๋ ๋ฌผ๋ฆฌ์ ์ฅ์น ๋๋ ์ํํธ์จ์ด ์ ํ๋ฆฌ์ผ์ด์ ์ ๋๋ค.
Virtual private gateway: ์ฌ์ดํธ ๊ฐ VPN ์ฐ๊ฒฐ์ Amazon ์ธก์ ์๋ VPN ์ง์ค๊ธฐ์ ๋๋ค. ์ฌ์ดํธ ๊ฐ VPN ์ฐ๊ฒฐ์ Amazon ์ธก ๊ฒ์ดํธ์จ์ด๋ก ๊ฐ์ ํ๋ผ์ด๋น ๊ฒ์ดํธ์จ์ด ๋๋ ์ ์ก ๊ฒ์ดํธ์จ์ด๋ฅผ ์ฌ์ฉํฉ๋๋ค.
Transit gateway: VPC์ ์จํ๋ ๋ฏธ์ค ๋คํธ์ํฌ๋ฅผ ์ํธ ์ฐ๊ฒฐํ๋ ๋ฐ ์ฌ์ฉํ ์ ์๋ ์ ์ก ํ๋ธ์ ๋๋ค. ์ฌ์ดํธ ๊ฐ VPN ์ฐ๊ฒฐ์ Amazon ์ธก ๊ฒ์ดํธ์จ์ด๋ก ์ ์ก ๊ฒ์ดํธ์จ์ด ๋๋ ๊ฐ์ ํ๋ผ์ด๋น ๊ฒ์ดํธ์จ์ด๋ฅผ ์ฌ์ฉํฉ๋๋ค.
๊ฐ์ ํ๋ผ์ด๋น ๊ฒ์ดํธ์จ์ด์์ VPN ์ฐ๊ฒฐ์ ๋ํ IPv6 ํธ๋ํฝ์ ์ง์๋์ง ์์ต๋๋ค.
AWS VPN ์ฐ๊ฒฐ์ ๊ฒฝ๋ก MTU ๋ฐ๊ฒฌ์ ์ง์ํ์ง ์์ต๋๋ค.
๋ํ, ์ฌ์ดํธ ๊ฐ VPN์ ์ฌ์ฉํ ๋ ๋ค์ ์ฌํญ์ ๊ณ ๋ คํ์ญ์์ค.
VPC๋ฅผ ๊ณตํต ์จํ๋ ๋ฏธ์ค ๋คํธ์ํฌ์ ์ฐ๊ฒฐํ ๋๋ ๋คํธ์ํฌ์ ๋ํด ๊ฒน์น์ง ์๋ CIDR ๋ธ๋ก์ ์ฌ์ฉํ๋ ๊ฒ์ด ์ข์ต๋๋ค.
๊ทํ์ ๋จธ์ ์์ VPC๋ก ์ฐ๊ฒฐํฉ๋๋ค.
Client VPN endpoint: ํด๋ผ์ด์ธํธ VPN ์ธ์ ์ ํ์ฑํํ๊ณ ๊ด๋ฆฌํ๊ธฐ ์ํด ์์ฑํ๊ณ ๊ตฌ์ฑํ๋ ๋ฆฌ์์ค์ ๋๋ค. ๋ชจ๋ ํด๋ผ์ด์ธํธ VPN ์ธ์ ์ด ์ข ๋ฃ๋๋ ๋ฆฌ์์ค์ ๋๋ค.
Target network: Target network๋ Client VPN ์๋ํฌ์ธํธ์ ์ฐ๊ฒฐํ๋ ๋คํธ์ํฌ์ ๋๋ค. VPC์ ์๋ธ๋ท์ด Target network์ ๋๋ค. ์๋ธ๋ท์ Client VPN ์๋ํฌ์ธํธ์ ์ฐ๊ฒฐํ๋ฉด VPN ์ธ์ ์ ์ค์ ํ ์ ์์ต๋๋ค. ๊ณ ๊ฐ์ฉ์ฑ์ ์ํด Client VPN ์๋ํฌ์ธํธ์ ์ฌ๋ฌ ์๋ธ๋ท์ ์ฐ๊ฒฐํ ์ ์์ต๋๋ค. ๋ชจ๋ ์๋ธ๋ท์ ๋์ผํ VPC์ ์ํด์ผ ํ๋ฉฐ, ๊ฐ ์๋ธ๋ท์ ์๋ก ๋ค๋ฅธ ๊ฐ์ฉ ์์ญ์ ์ํด์ผ ํฉ๋๋ค.
Route: ๊ฐ Client VPN ์๋ํฌ์ธํธ์๋ ์ฌ์ฉ ๊ฐ๋ฅํ ๋ชฉ์ ์ง ๋คํธ์ํฌ ๊ฒฝ๋ก๋ฅผ ์ค๋ช ํ๋ ๋ผ์ฐํ ํ ์ด๋ธ์ด ์์ต๋๋ค. ๋ผ์ฐํ ํ ์ด๋ธ์ ๊ฐ ๊ฒฝ๋ก๋ ํน์ ๋ฆฌ์์ค ๋๋ ๋คํธ์ํฌ๋ก์ ํธ๋ํฝ ๊ฒฝ๋ก๋ฅผ ์ง์ ํฉ๋๋ค.
Authorization rules: ๊ถํ ๋ถ์ฌ ๊ท์น์ ๋คํธ์ํฌ์ ์ ๊ทผํ ์ ์๋ ์ฌ์ฉ์๋ฅผ ์ ํํฉ๋๋ค. ํน์ ๋คํธ์ํฌ์ ๋ํด ์ ๊ทผ์ด ํ์ฉ๋ Active Directory ๋๋ ID ๊ณต๊ธ์(IdP) ๊ทธ๋ฃน์ ๊ตฌ์ฑํฉ๋๋ค. ์ด ๊ทธ๋ฃน์ ์ํ ์ฌ์ฉ์๋ง ์ง์ ๋ ๋คํธ์ํฌ์ ์ ๊ทผํ ์ ์์ต๋๋ค. ๊ธฐ๋ณธ์ ์ผ๋ก ๊ถํ ๋ถ์ฌ ๊ท์น์ด ์์ผ๋ฉฐ, ์ฌ์ฉ์๊ฐ ๋ฆฌ์์ค ๋ฐ ๋คํธ์ํฌ์ ์ ๊ทผํ ์ ์๋๋ก ๊ถํ ๋ถ์ฌ ๊ท์น์ ๊ตฌ์ฑํด์ผ ํฉ๋๋ค.
Client: Client VPN ์๋ํฌ์ธํธ์ ์ฐ๊ฒฐํ์ฌ VPN ์ธ์ ์ ์ค์ ํ๋ ์ต์ข ์ฌ์ฉ์์ ๋๋ค. ์ต์ข ์ฌ์ฉ์๋ OpenVPN ํด๋ผ์ด์ธํธ๋ฅผ ๋ค์ด๋ก๋ํ๊ณ , ์์ฑํ Client VPN ๊ตฌ์ฑ ํ์ผ์ ์ฌ์ฉํ์ฌ VPN ์ธ์ ์ ์ค์ ํด์ผ ํฉ๋๋ค.
Client CIDR range: ํด๋ผ์ด์ธํธ IP ์ฃผ์๋ฅผ ํ ๋นํ IP ์ฃผ์ ๋ฒ์์
๋๋ค. Client VPN ์๋ํฌ์ธํธ์ ๋ํ ๊ฐ ์ฐ๊ฒฐ์ ํด๋ผ์ด์ธํธ CIDR ๋ฒ์์์ ๊ณ ์ ํ IP ์ฃผ์๋ฅผ ํ ๋น๋ฐ์ต๋๋ค. ํด๋ผ์ด์ธํธ CIDR ๋ฒ์๋ฅผ ์ ํํฉ๋๋ค. ์๋ฅผ ๋ค์ด, 10.2.0.0/16
์
๋๋ค.
Client VPN ports: AWS Client VPN์ TCP ๋ฐ UDP ๋ชจ๋์ ๋ํด ํฌํธ 443 ๋ฐ 1194๋ฅผ ์ง์ํฉ๋๋ค. ๊ธฐ๋ณธ๊ฐ์ ํฌํธ 443์ ๋๋ค.
Client VPN network interfaces: ์๋ธ๋ท์ Client VPN ์๋ํฌ์ธํธ์ ์ฐ๊ฒฐํ๋ฉด ํด๋น ์๋ธ๋ท์ Client VPN ๋คํธ์ํฌ ์ธํฐํ์ด์ค๊ฐ ์์ฑ๋ฉ๋๋ค. Client VPN ์๋ํฌ์ธํธ์์ VPC๋ก ์ ์ก๋๋ ํธ๋ํฝ์ Client VPN ๋คํธ์ํฌ ์ธํฐํ์ด์ค๋ฅผ ํตํด ์ ์ก๋ฉ๋๋ค. ๊ทธ๋ฐ ๋ค์ ์์ค ๋คํธ์ํฌ ์ฃผ์ ๋ณํ(SNAT)์ด ์ ์ฉ๋์ด ํด๋ผ์ด์ธํธ CIDR ๋ฒ์์ ์์ค IP ์ฃผ์๊ฐ Client VPN ๋คํธ์ํฌ ์ธํฐํ์ด์ค IP ์ฃผ์๋ก ๋ณํ๋ฉ๋๋ค.
Connection logging: Client VPN ์๋ํฌ์ธํธ์ ๋ํ ์ฐ๊ฒฐ ์ด๋ฒคํธ๋ฅผ ๊ธฐ๋กํ๊ธฐ ์ํด ์ฐ๊ฒฐ ๋ก๊น ์ ํ์ฑํํ ์ ์์ต๋๋ค. ์ด ์ ๋ณด๋ฅผ ์ฌ์ฉํ์ฌ ํฌ๋ ์์ ์ํํ๊ฑฐ๋ Client VPN ์๋ํฌ์ธํธ ์ฌ์ฉ ๋ฐฉ์์ ๋ถ์ํ๊ฑฐ๋ ์ฐ๊ฒฐ ๋ฌธ์ ๋ฅผ ๋๋ฒ๊น ํ ์ ์์ต๋๋ค.
Self-service portal: Client VPN ์๋ํฌ์ธํธ์ ๋ํ ์ ํ ์๋น์ค ํฌํธ์ ํ์ฑํํ ์ ์์ต๋๋ค. ํด๋ผ์ด์ธํธ๋ ์๊ฒฉ ์ฆ๋ช ์ ์ฌ์ฉํ์ฌ ์น ๊ธฐ๋ฐ ํฌํธ์ ๋ก๊ทธ์ธํ๊ณ Client VPN ์๋ํฌ์ธํธ ๊ตฌ์ฑ ํ์ผ์ ์ต์ ๋ฒ์ ์ ๋ค์ด๋ก๋ํ๊ฑฐ๋ AWS์์ ์ ๊ณตํ๋ ํด๋ผ์ด์ธํธ์ ์ต์ ๋ฒ์ ์ ๋ค์ด๋ก๋ํ ์ ์์ต๋๋ค.
Client CIDR ๋ฒ์๋ ์ฐ๊ฒฐ๋ ์๋ธ๋ท์ด ์์นํ VPC์ ๋ก์ปฌ CIDR๊ณผ ๊ฒน์น ์ ์์ต๋๋ค. ๋๋ Client VPN ์๋ํฌ์ธํธ์ ๋ผ์ฐํ ํ ์ด๋ธ์ ์๋์ผ๋ก ์ถ๊ฐ๋ ๊ฒฝ๋ก์ ๊ฒน์น ์ ์์ต๋๋ค.
Client CIDR ๋ฒ์๋ ์ต์ /22์ ๋ธ๋ก ํฌ๊ธฐ๋ฅผ ๊ฐ์ ธ์ผ ํ๋ฉฐ, /12๋ณด๋ค ์ปค์๋ ์ ๋ฉ๋๋ค.
Client CIDR ๋ฒ์์ ์ผ๋ถ ์ฃผ์๋ Client VPN ์๋ํฌ์ธํธ์ ๊ฐ์ฉ์ฑ ๋ชจ๋ธ์ ์ง์ํ๋ ๋ฐ ์ฌ์ฉ๋๋ฉฐ, ํด๋ผ์ด์ธํธ์ ํ ๋นํ ์ ์์ต๋๋ค. ๋ฐ๋ผ์ ์ง์ํ ์ต๋ ๋์ ์ฐ๊ฒฐ ์์ ํ์ํ IP ์ฃผ์ ์์ ๋ ๋ฐฐ๋ฅผ ํฌํจํ๋ CIDR ๋ธ๋ก์ ํ ๋นํ๋ ๊ฒ์ด ์ข์ต๋๋ค.
Client VPN ์๋ํฌ์ธํธ๋ฅผ ์์ฑํ ํ์๋ ํด๋ผ์ด์ธํธ CIDR ๋ฒ์๋ฅผ ๋ณ๊ฒฝํ ์ ์์ต๋๋ค.
Client VPN ์๋ํฌ์ธํธ์ ์ฐ๊ฒฐ๋ ์๋ธ๋ท์ ๋ฐ๋์ ๋์ผํ VPC์ ์์ด์ผ ํฉ๋๋ค.
๋์ผํ ๊ฐ์ฉ ์์ญ์ ์ฌ๋ฌ ์๋ธ๋ท์ Client VPN ์๋ํฌ์ธํธ์ ์ฐ๊ฒฐํ ์ ์์ต๋๋ค.
Client VPN ์๋ํฌ์ธํธ๋ ์ ์ฉ ํ ๋์ VPC์์ ์๋ธ๋ท ์ฐ๊ฒฐ์ ์ง์ํ์ง ์์ต๋๋ค.
Client VPN์ IPv4 ํธ๋ํฝ๋ง ์ง์ํฉ๋๋ค.
Client VPN์ ์ฐ๋ฐฉ ์ ๋ณด ์ฒ๋ฆฌ ํ์ค(FIPS) ์ค์๊ฐ ์๋๋๋ค.
๋ค๋จ๊ณ ์ธ์ฆ(MFA)์ด Active Directory์ ๋ํด ๋นํ์ฑํ๋ ๊ฒฝ์ฐ, ์ฌ์ฉ์ ๋น๋ฐ๋ฒํธ๋ ๋ค์ ํ์์ผ ์ ์์ต๋๋ค.
์ ํ ์๋น์ค ํฌํธ์ ์ํธ ์ธ์ฆ์ ์ฌ์ฉํ๋ ํด๋ผ์ด์ธํธ์ ๋ํด ์ฌ์ฉํ ์ ์์ต๋๋ค.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)