GCP - VPC & Networking

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

GCP Računarsko Mreženje u Kratkim Crtama

VPC-ovi sadrže Firewall pravila za dozvolu dolaznog saobraćaja u VPC. VPC-ovi takođe sadrže podmreže gde će biti povezane virtuelne mašine. U poređenju sa AWS-om, Firewall bi bio najbliža stvar AWS Security Groups i NACLs, ali u ovom slučaju su definisani u VPC-u a ne u svakom primerku.

VPC, Podmreže & Firewall-ovi u GCP-u

Računarski primeri su povezani podmrežama koje su deo VPC-ova (Virtualne privatne mreže). U GCP-u nema sigurnosnih grupa, postoje VPC firewall-ovi sa pravilima definisanim na ovom nivou mreže ali primenjenim na svaku VM instancu.

Podmreže

Jedan VPC može imati više podmreža. Svaka podmreža je u 1 regionu.

Firewall-ovi

Podrazumevano, svaka mreža ima dva podrazumevana firewall pravila: dozvoli odlazni i zabrani dolazni.

Kada se kreira GCP projekat, VPC nazvan default je takođe kreiran, sa sledećim firewall pravilima:

  • default-allow-internal: dozvoli sav saobraćaj od drugih instanci na default mreži

  • default-allow-ssh: dozvoli 22 sa bilo kog mesta

  • default-allow-rdp: dozvoli 3389 sa bilo kog mesta

  • default-allow-icmp: dozvoli ping sa bilo kog mesta

Kao što možete videti, firewall pravila obično su više dozvoljena za internu IP adresu. Podrazumevani VPC dozvoljava sav saobraćaj između Računarskih Instanci.

Više Firewall pravila može biti kreirano za podrazumevani VPC ili za nove VPC-ove. Firewall pravila mogu biti primenjena na instance putem sledećih metoda:

Nažalost, ne postoji jednostavna gcloud komanda koja će izlistati sve Računske Instance sa otvorenim portovima na internetu. Morate povezati tačkice između firewall pravila, mrežnih tagova, servisnih naloga i instanci.

Ovaj proces je automatizovan korišćenjem ovog python skripta koji će izvesti sledeće:

  • CSV fajl koji prikazuje instancu, javnu IP adresu, dozvoljeni TCP, dozvoljeni UDP

  • nmap skeniranje svih instanci na portovima dolaznog saobraćaja dozvoljenog sa javnog interneta (0.0.0.0/0)

  • masscan za ciljanje punog TCP opsega tih instanci koje dozvoljavaju SVE TCP portove sa javnog interneta (0.0.0.0/0)

Hijerarhijske Firewall Politike

Hijerarhijske firewall politike vam omogućavaju da kreirate i sprovedete doslednu firewall politiku širom vaše organizacije. Možete dodeliti hijerarhijske firewall politike organizaciji u celini ili pojedinačnim folderima. Ove politike sadrže pravila koja mogu eksplicitno zabraniti ili dozvoliti konekcije.

Kreirate i primenjujete firewall politike kao odvojene korake. Možete kreirati i primeniti firewall politike na čvorovima organizacije ili foldera hijerarhije resursa. Pravilo firewall politike može blokirati konekcije, dozvoliti konekcije ili odložiti evaluaciju pravila firewall-a na nižim nivoima foldera ili VPC firewall pravila definisanih u VPC mrežama.

Podrazumevano, sva pravila hijerarhijske firewall politike se primenjuju na sve VM-ove u svim projektima pod organizacijom ili folderom gde je politika povezana. Međutim, možete ograničiti kojim VM-ovima se dodeljuje dato pravilo specificiranjem ciljnih mreža ili ciljnih servisnih naloga.

Možete pročitati ovde kako kreirati Hijerarhijsku Firewall Politiku.

Evaluacija Firewall Pravila

  1. Org: Firewall politike dodeljene Organizaciji

  2. Folder: Firewall politike dodeljene Folderu

  3. VPC: Firewall pravila dodeljena VPC-u

  4. Globalno: Druga vrsta firewall pravila koja mogu biti dodeljena VPC-ovima

  5. Regionalno: Firewall pravila povezana sa VPC mrežom NIC-a VM-a i regionom VM-a.

Povezivanje VPC Mreža

Omogućava povezivanje dve Virtualne privatne mreže (VPC) tako da resursi u svakoj mreži mogu komunicirati jedni sa drugima. Povezane VPC mreže mogu biti u istom projektu, različitim projektima iste organizacije, ili različitim projektima različitih organizacija.

Potrebne dozvole su:

  • compute.networks.addPeering

  • compute.networks.updatePeering

  • compute.networks.removePeering

  • compute.networks.listPeeringRoutes

Više u dokumentaciji.

Reference

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Last updated