AWS - VPC & Networking Basic Information
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Uma VPC contém um CIDR de rede como 10.0.0.0/16 (com sua tabela de roteamento e ACL de rede).
Esta rede VPC é dividida em subredes, então uma subrede está diretamente relacionada com a VPC, tabela de roteamento e ACL de rede.
Então, as Interfaces de Rede anexadas a serviços (como instâncias EC2) estão conectadas às subredes com grupo(s) de segurança.
Portanto, um grupo de segurança limitará as portas expostas das interfaces de rede que o utilizam, independentemente da subrede. E uma ACL de rede limitará as portas expostas para a rede inteira.
Além disso, para acessar a Internet, há algumas configurações interessantes a serem verificadas:
Uma subrede pode atribuir automaticamente endereços IPv4 públicos
Uma instância criada na rede que atribui automaticamente endereços IPv4 pode obter um
Um gateway da Internet precisa ser anexado à VPC
Você também pode usar gateways de internet apenas de saída
Você também pode ter um gateway NAT em uma subrede privada para que seja possível conectar a serviços externos dessa subrede privada, mas não é possível alcançá-los do exterior.
O gateway NAT pode ser público (acesso à internet) ou privado (acesso a outras VPCs)
A Nuvem Privada Virtual da Amazon (Amazon VPC) permite que você inicie recursos da AWS em uma rede virtual que você definiu. Esta rede virtual terá várias subredes, Gateways de Internet para acessar a Internet, ACLs, Grupos de segurança, IPs...
As subredes ajudam a impor um maior nível de segurança. Agrupamento lógico de recursos semelhantes também ajuda você a manter uma facilidade de gerenciamento em sua infraestrutura.
CIDR válidos vão de uma máscara de rede /16 a uma máscara de rede /28.
Uma subrede não pode estar em diferentes zonas de disponibilidade ao mesmo tempo.
A AWS reserva os três primeiros endereços IP de host de cada subrede para uso interno da AWS: o primeiro endereço de host usado é para o roteador da VPC. O segundo endereço é reservado para o DNS da AWS e o terceiro endereço é reservado para uso futuro.
Chamamos de subredes públicas aquelas que têm acesso direto à Internet, enquanto subredes privadas não têm.
As tabelas de roteamento determinam o roteamento de tráfego para uma subrede dentro de uma VPC. Elas determinam qual tráfego de rede é encaminhado para a internet ou para uma conexão VPN. Você geralmente encontrará acesso ao:
VPC local
NAT
Gateways da Internet / gateways de internet apenas de saída (necessários para dar acesso a uma VPC à Internet).
Para tornar uma subrede pública, você precisa criar e anexar um gateway da Internet à sua VPC.
Pontos de extremidade da VPC (para acessar o S3 de redes privadas)
Nas imagens a seguir, você pode verificar as diferenças entre uma rede pública padrão e uma privada:
Listas de Controle de Acesso à Rede (ACLs): As ACLs de rede são regras de firewall que controlam o tráfego de rede de entrada e saída para uma subrede. Elas podem ser usadas para permitir ou negar tráfego para endereços IP ou intervalos específicos.
É mais frequente permitir/negá-lo usando grupos de segurança, mas esta é a única maneira de cortar completamente shells reversos estabelecidos. Uma regra modificada em um grupo de segurança não interrompe conexões já estabelecidas.
No entanto, isso se aplica a toda a subrede, tenha cuidado ao proibir coisas, pois funcionalidades necessárias podem ser perturbadas.
Os grupos de segurança são um firewall virtual que controla o tráfego de rede de entrada e saída para instâncias em uma VPC. Relação 1 SG para M instâncias (geralmente 1 para 1). Normalmente, isso é usado para abrir portas perigosas em instâncias, como a porta 22, por exemplo:
Um Endereço IP Elástico é um endereço IPv4 estático projetado para computação em nuvem dinâmica. Um Endereço IP Elástico é alocado à sua conta AWS e é seu até que você o libere. Ao usar um Endereço IP Elástico, você pode mascarar a falha de uma instância ou software remapeando rapidamente o endereço para outra instância em sua conta.
Por padrão, todas as subredes têm a atribuição automática de endereços IP públicos desativada, mas pode ser ativada.
Uma rota local dentro de uma tabela de roteamento permite a comunicação entre subredes VPC.
Se você está conectando uma subrede com uma subrede diferente, não pode acessar as subredes conectadas com a outra subrede, você precisa criar uma conexão com elas diretamente. Isso também se aplica a gateways da internet. Você não pode passar por uma conexão de subrede para acessar a internet, você precisa atribuir o gateway da internet à sua subrede.
O peering de VPC permite que você conecte duas ou mais VPCs juntas, usando IPV4 ou IPV6, como se fossem parte da mesma rede.
Uma vez que a conectividade de peering é estabelecida, recursos em uma VPC podem acessar recursos na outra. A conectividade entre as VPCs é implementada através da infraestrutura de rede existente da AWS, e assim é altamente disponível sem gargalos de largura de banda. Como as conexões de peering operam como se fossem parte da mesma rede, há restrições quando se trata de seus intervalos de bloco CIDR que podem ser usados. Se você tiver intervalos CIDR sobrepostos ou duplicados para sua VPC, então você não poderá fazer peering das VPCs juntas. Cada VPC da AWS se comunicará apenas com seu par. Como exemplo, se você tiver uma conexão de peering entre a VPC 1 e a VPC 2, e outra conexão entre a VPC 2 e a VPC 3, conforme mostrado, então a VPC 1 e a VPC 2 poderiam se comunicar diretamente, assim como a VPC 2 e a VPC 3, no entanto, a VPC 1 e a VPC 3 não poderiam. Você não pode rotear através de uma VPC para chegar a outra.
Dentro da sua VPC, você pode ter potencialmente centenas ou até milhares de recursos se comunicando entre diferentes subredes, tanto públicas quanto privadas, e também entre diferentes VPCs através de conexões de peering de VPC. Os VPC Flow Logs permitem que você capture informações de tráfego IP que fluem entre as interfaces de rede de seus recursos dentro da sua VPC.
Ao contrário dos logs de acesso do S3 e dos logs de acesso do CloudFront, os dados de log gerados pelos VPC Flow Logs não são armazenados no S3. Em vez disso, os dados de log capturados são enviados para os logs do CloudWatch.
Limitações:
Se você estiver executando uma conexão de peering de VPC, então você só poderá ver os logs de fluxo das VPCs pareadas que estão dentro da mesma conta.
Se você ainda estiver executando recursos dentro do ambiente EC2-Classic, então, infelizmente, você não poderá recuperar informações de suas interfaces.
Uma vez que um VPC Flow Log foi criado, ele não pode ser alterado. Para alterar a configuração do VPC Flow Log, você precisa excluí-lo e, em seguida, recriar um novo.
O tráfego a seguir não é monitorado e capturado pelos logs. Tráfego DHCP dentro da VPC, tráfego de instâncias destinado ao Servidor DNS da Amazon.
Qualquer tráfego destinado ao endereço IP do roteador padrão da VPC e tráfego de e para os seguintes endereços, 169.254.169.254, que é usado para coletar metadados da instância, e 169.254.169.123, que é usado para o Serviço de Sincronização de Tempo da Amazon.
Tráfego relacionado a uma licença de ativação do Windows da Amazon de uma instância Windows.
Tráfego entre uma interface de balanceador de carga de rede e uma interface de rede de ponto de extremidade.
Para cada interface de rede que publica dados no grupo de logs do CloudWatch, será usado um fluxo de log diferente. E dentro de cada um desses fluxos, haverá os dados de eventos de log de fluxo que mostram o conteúdo das entradas de log. Cada um desses logs captura dados durante uma janela de aproximadamente 10 a 15 minutos.
Gateway do Cliente:
Um Gateway do Cliente é um recurso que você cria na AWS para representar seu lado de uma conexão VPN.
É essencialmente um dispositivo físico ou aplicativo de software do seu lado da conexão VPN Site-to-Site.
Você fornece informações de roteamento e o endereço IP público do seu dispositivo de rede (como um roteador ou um firewall) para a AWS para criar um Gateway do Cliente.
Ele serve como um ponto de referência para configurar a conexão VPN e não gera cobranças adicionais.
Gateway Privado Virtual:
Um Gateway Privado Virtual (VPG) é o concentrador VPN do lado da Amazon da conexão VPN Site-to-Site.
Ele está anexado à sua VPC e serve como o alvo para sua conexão VPN.
O VPG é o ponto de extremidade do lado da AWS para a conexão VPN.
Ele gerencia a comunicação segura entre sua VPC e sua rede local.
Conexão VPN Site-to-Site:
Uma conexão VPN Site-to-Site conecta sua rede local a uma VPC através de um túnel VPN IPsec seguro.
Este tipo de conexão requer um Gateway do Cliente e um Gateway Privado Virtual.
É usado para comunicação segura, estável e consistente entre seu data center ou rede e seu ambiente AWS.
Normalmente usado para conexões regulares e de longo prazo e é cobrado com base na quantidade de dados transferidos pela conexão.
Ponto de extremidade VPN do Cliente:
Um ponto de extremidade VPN do Cliente é um recurso que você cria na AWS para habilitar e gerenciar sessões VPN do cliente.
É usado para permitir que dispositivos individuais (como laptops, smartphones, etc.) se conectem de forma segura aos recursos da AWS ou à sua rede local.
Ele difere da VPN Site-to-Site na medida em que é projetado para clientes individuais, em vez de conectar redes inteiras.
Com a VPN do Cliente, cada dispositivo cliente usa um software cliente VPN para estabelecer uma conexão segura.
Conecte sua rede local com sua VPC.
Conexão VPN: Uma conexão segura entre seu equipamento local e suas VPCs.
Túnel VPN: Um link criptografado onde os dados podem passar da rede do cliente para ou da AWS.
Cada conexão VPN inclui dois túneis VPN que você pode usar simultaneamente para alta disponibilidade.
Gateway do cliente: Um recurso da AWS que fornece informações à AWS sobre seu dispositivo de gateway do cliente.
Dispositivo de gateway do cliente: Um dispositivo físico ou aplicativo de software do seu lado da conexão VPN Site-to-Site.
Gateway privado virtual: O concentrador VPN do lado da Amazon da conexão VPN Site-to-Site. Você usa um gateway privado virtual ou um gateway de trânsito como o gateway do lado da Amazon da conexão VPN Site-to-Site.
Gateway de trânsito: Um hub de trânsito que pode ser usado para interconectar suas VPCs e redes locais. Você usa um gateway de trânsito ou um gateway privado virtual como o gateway do lado da Amazon da conexão VPN Site-to-Site.
O tráfego IPv6 não é suportado para conexões VPN em um gateway privado virtual.
Uma conexão VPN da AWS não suporta a Descoberta de MTU de Caminho.
Além disso, leve o seguinte em consideração ao usar a VPN Site-to-Site.
Ao conectar suas VPCs a uma rede local comum, recomendamos que você use blocos CIDR não sobrepostos para suas redes.
Conecte-se do seu computador à sua VPC
Ponto de extremidade VPN do cliente: O recurso que você cria e configura para habilitar e gerenciar sessões VPN do cliente. É o recurso onde todas as sessões VPN do cliente são encerradas.
Rede de destino: Uma rede de destino é a rede que você associa a um ponto de extremidade VPN do cliente. Uma subrede de uma VPC é uma rede de destino. Associar uma subrede a um ponto de extremidade VPN do cliente permite que você estabeleça sessões VPN. Você pode associar várias subredes a um ponto de extremidade VPN do cliente para alta disponibilidade. Todas as subredes devem ser da mesma VPC. Cada subrede deve pertencer a uma zona de disponibilidade diferente.
Rota: Cada ponto de extremidade VPN do cliente tem uma tabela de rotas que descreve as rotas de rede de destino disponíveis. Cada rota na tabela de rotas especifica o caminho para o tráfego para recursos ou redes específicas.
Regras de autorização: Uma regra de autorização restringe os usuários que podem acessar uma rede. Para uma rede especificada, você configura o grupo do Active Directory ou provedor de identidade (IdP) que tem acesso permitido. Apenas usuários pertencentes a esse grupo podem acessar a rede especificada. Por padrão, não há regras de autorização e você deve configurar regras de autorização para permitir que os usuários acessem recursos e redes.
Cliente: O usuário final que se conecta ao ponto de extremidade VPN do cliente para estabelecer uma sessão VPN. Os usuários finais precisam baixar um cliente OpenVPN e usar o arquivo de configuração do ponto de extremidade VPN do cliente que você criou para estabelecer uma sessão VPN.
Intervalo CIDR do cliente: Um intervalo de endereços IP do qual atribuir endereços IP de cliente. Cada conexão ao ponto de extremidade VPN do cliente recebe um endereço IP exclusivo do intervalo CIDR do cliente. Você escolhe o intervalo CIDR do cliente, por exemplo, 10.2.0.0/16
.
Portas VPN do cliente: A AWS Client VPN suporta as portas 443 e 1194 para TCP e UDP. O padrão é a porta 443.
Interfaces de rede VPN do cliente: Quando você associa uma subrede ao seu ponto de extremidade VPN do cliente, criamos interfaces de rede VPN do cliente nessa subrede. O tráfego enviado para a VPC a partir do ponto de extremidade VPN do cliente é enviado através de uma interface de rede VPN do cliente. A tradução de endereço de rede de origem (SNAT) é então aplicada, onde o endereço IP de origem do intervalo CIDR do cliente é traduzido para o endereço IP da interface de rede VPN do cliente.
Registro de conexão: Você pode habilitar o registro de conexão para seu ponto de extremidade VPN do cliente para registrar eventos de conexão. Você pode usar essas informações para realizar investigações, analisar como seu ponto de extremidade VPN do cliente está sendo usado ou depurar problemas de conexão.
Portal de autoatendimento: Você pode habilitar um portal de autoatendimento para seu ponto de extremidade VPN do cliente. Os clientes podem fazer login no portal baseado na web usando suas credenciais e baixar a versão mais recente do arquivo de configuração do ponto de extremidade VPN do cliente, ou a versão mais recente do cliente fornecido pela AWS.
Os intervalos CIDR do cliente não podem se sobrepor ao CIDR local da VPC na qual a subrede associada está localizada, ou a quaisquer rotas adicionadas manualmente à tabela de rotas do ponto de extremidade VPN do cliente.
Os intervalos CIDR do cliente devem ter um tamanho de bloco de pelo menos /22 e não devem ser maiores que /12.
Uma parte dos endereços no intervalo CIDR do cliente é usada para suportar o modelo de disponibilidade do ponto de extremidade VPN do cliente e não pode ser atribuída a clientes. Portanto, recomendamos que você atribua um bloco CIDR que contenha o dobro do número de endereços IP necessários para habilitar o número máximo de conexões simultâneas que você planeja suportar no ponto de extremidade VPN do cliente.
O intervalo CIDR do cliente não pode ser alterado após a criação do ponto de extremidade VPN do cliente.
As subredes associadas a um ponto de extremidade VPN do cliente devem estar na mesma VPC.
Você não pode associar várias subredes da mesma Zona de Disponibilidade a um ponto de extremidade VPN do cliente.
Um ponto de extremidade VPN do cliente não suporta associações de subrede em uma VPC de locação dedicada.
A VPN do cliente suporta tráfego IPv4 apenas.
A VPN do cliente não é compatível com os Padrões de Processamento de Informação Federal (FIPS).
Se a autenticação multifator (MFA) estiver desativada para seu Active Directory, uma senha de usuário não pode estar no seguinte formato.
O portal de autoatendimento não está disponível para clientes que se autenticam usando autenticação mútua.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)