GCP - VPC & Networking
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
VPCs sadrži Firewall pravila koja omogućavaju dolazni saobraćaj u VPC. VPCs takođe sadrži podmreže gde će biti povezane virtuelne mašine. U poređenju sa AWS, Firewall bi bio najbliža stvar AWS Security Groups i NACLs, ali u ovom slučaju, ona su definisana u VPC i ne u svakoj instanci.
Compute Instances su povezane podmrežama koje su deo VPCs (Virtual Private Clouds). U GCP ne postoje sigurnosne grupe, postoje VPC firewall sa pravilima definisanim na ovom mrežnom nivou, ali primenjenim na svaku VM instancu.
VPC može imati više podmreža. Svaka podmreža je u 1 regionu.
Po defaultu, svaka mreža ima dva implicitna firewall pravila: dozvoli izlazni i odbaci ulazni.
Kada se kreira GCP projekat, takođe se kreira VPC pod nazivom default, sa sledećim firewall pravilima:
default-allow-internal: dozvoli sav saobraćaj od drugih instanci na default mreži
default-allow-ssh: dozvoli 22 sa svuda
default-allow-rdp: dozvoli 3389 sa svuda
default-allow-icmp: dozvoli ping sa svuda
Kao što možete videti, firewall pravila imaju tendenciju da budu više permisivna za interni IP adrese. Podrazumevani VPC dozvoljava sav saobraćaj između Compute Instances.
Više Firewall pravila može se kreirati za podrazumevani VPC ili za nove VPCs. Firewall pravila mogu se primeniti na instance putem sledećih metoda:
Sve instance unutar VPC
Nažalost, ne postoji jednostavna gcloud komanda koja bi ispisala sve Compute Instances sa otvorenim portovima na internetu. Morate povezati tačke između firewall pravila, mrežnih tagova, servisnih naloga i instanci.
Ovaj proces je automatizovan korišćenjem ovog python skripta koji će izvesti sledeće:
CSV datoteku koja prikazuje instancu, javni IP, dozvoljeni TCP, dozvoljeni UDP
nmap skeniranje za ciljanje svih instanci na portovima koji su dozvoljeni za ulaz sa javnog interneta (0.0.0.0/0)
masscan za ciljanje celog TCP opsega onih instanci koje dozvoljavaju SVE TCP portove sa javnog interneta (0.0.0.0/0)
Hijerarhijske firewall politike vam omogućavaju da kreirate i sprovodite doslednu firewall politiku širom vaše organizacije. Možete dodeliti hijerarhijske firewall politike organizaciji kao celini ili pojedinačnim folderima. Ove politike sadrže pravila koja mogu eksplicitno odbiti ili dozvoliti veze.
Kreirate i primenjujete firewall politike kao odvojene korake. Možete kreirati i primeniti firewall politike na organizaciji ili folderima resursne hijerarhije. Pravilo firewall politike može blokirati veze, dozvoliti veze ili odložiti evaluaciju firewall pravila na niže nivoe foldera ili VPC firewall pravila definisana u VPC mrežama.
Po defaultu, sva hijerarhijska pravila firewall politika primenjuju se na sve VM-ove u svim projektima pod organizacijom ili folderom gde je politika povezana. Međutim, možete ograničiti koji VM-ovi dobijaju dato pravilo specificiranjem ciljnih mreža ili ciljnih servisnih naloga.
Možete pročitati ovde kako da kreirate Hijerarhijsku Firewall Politiku.
Org: Firewall politike dodeljene organizaciji
Folder: Firewall politike dodeljene folderu
VPC: Firewall pravila dodeljena VPC-u
Global: Druga vrsta firewall pravila koja se mogu dodeliti VPC-ima
Regional: Firewall pravila povezana sa VPC mrežom NIC-a VM-a i regionom VM-a.
Omogućava povezivanje dve Virtual Private Cloud (VPC) mreže tako da resursi u svakoj mreži mogu komunicirati jedni s drugima. Povezane VPC mreže mogu biti u istom projektu, različitim projektima iste organizacije, ili različitim projektima različitih organizacija.
Ovo su potrebne dozvole:
compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
