GCP - VPC & Networking
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
VPCs zina Firewall sheria za kuruhusu trafiki inayokuja kwenye VPC. VPCs pia zina subnetworks ambapo mashine za virtual zitakuwa zimeunganishwa. Ikilinganishwa na AWS, Firewall ingekuwa kitu cha karibu na AWS Security Groups na NACLs, lakini katika kesi hii hizi zina mwelekeo katika VPC na si katika kila mfano.
Compute Instances zimeunganishwa subnetworks ambazo ni sehemu ya VPCs (Virtual Private Clouds). Katika GCP hakuna makundi ya usalama, kuna VPC firewalls zenye sheria zilizofafanuliwa katika kiwango hiki cha mtandao lakini zinatumika kwa kila VM Instance.
VPC inaweza kuwa na subnetworks kadhaa. Kila subnetwork iko katika eneo 1.
Kwa kawaida, kila mtandao una sheria mbili za firewall zilizodhamiriwa: ruhusu outbound na kata inbound.
Wakati mradi wa GCP unaundwa, VPC inayoitwa default pia inaundwa, ikiwa na sheria zifuatazo za firewall:
default-allow-internal: ruhusu trafiki yote kutoka kwa mifano mingine kwenye mtandao wa default
default-allow-ssh: ruhusu 22 kutoka kila mahali
default-allow-rdp: ruhusu 3389 kutoka kila mahali
default-allow-icmp: ruhusu ping kutoka kila mahali
Kama unavyoona, firewall rules huwa na ruhusa zaidi kwa anwani za IP za ndani. VPC ya kawaida inaruhusu trafiki yote kati ya Compute Instances.
Sheria zaidi za Firewall zinaweza kuundwa kwa VPC ya kawaida au kwa VPC mpya. Sheria za Firewall zinaweza kutumika kwa mifano kupitia mbinu zifuatazo:
Mifano yote ndani ya VPC
Kwa bahati mbaya, hakuna amri rahisi ya gcloud kutoa mifano yote ya Compute yenye bandari wazi kwenye mtandao. Lazima uunganishe alama kati ya sheria za firewall, network tags, huduma za akaunti, na mifano.
Mchakato huu umejumuishwa kwa kutumia hii python script ambayo itasafirisha yafuatayo:
Faili ya CSV inayoonyesha mfano, IP ya umma, TCP inayoruhusiwa, UDP inayoruhusiwa
skana ya nmap kulenga mifano yote kwenye bandari zinazoruhusiwa kutoka kwa mtandao wa umma (0.0.0.0/0)
masscan kulenga safu kamili ya TCP ya mifano hiyo inayoruhusu BANDARI ZOTE za TCP kutoka kwa mtandao wa umma (0.0.0.0/0)
Maelekezo ya firewall ya kihierarkia yanakuruhusu kuunda na kutekeleza sera thabiti ya firewall katika shirika lako. Unaweza kupeana sera za firewall za kihierarkia kwa shirika kwa ujumla au kwa folders za kibinafsi. Sera hizi zina sheria ambazo zinaweza kukataa au kuruhusu mawasiliano kwa wazi.
Unaunda na kutekeleza sera za firewall kama hatua tofauti. Unaweza kuunda na kutekeleza sera za firewall katika mashirika au nodi za folda za hierarchy ya rasilimali. Sheria ya sera ya firewall inaweza kuzuia mawasiliano, kuruhusu mawasiliano, au kuchelewesha tathmini ya sheria za firewall kwa folda za chini au sheria za firewall za VPC zilizofafanuliwa katika mitandao ya VPC.
Kwa kawaida, sheria zote za sera za firewall za kihierarkia zinatumika kwa VMs zote katika miradi yote chini ya shirika au folda ambapo sera hiyo inahusishwa. Hata hivyo, unaweza kudhibiti ni VMs zipi zinapata sheria fulani kwa kubainisha mitandao ya lengo au akaunti za huduma za lengo.
Unaweza kusoma hapa jinsi ya kuunda Sera ya Firewall ya Kihierarkia.
Org: Sera za firewall zilizotolewa kwa Shirika
Folder: Sera za firewall zilizotolewa kwa Folda
VPC: Sheria za firewall zilizotolewa kwa VPC
Global: Aina nyingine ya sheria za firewall ambazo zinaweza kutolewa kwa VPCs
Regional: Sheria za firewall zinazohusishwa na mtandao wa VPC wa NIC ya VM na eneo la VM.
Inaruhusu kuunganisha mitandao miwili ya Virtual Private Cloud (VPC) ili rasilimali katika kila mtandao ziweze kuwasiliana na kila mmoja. Mitandao ya VPC iliyounganishwa inaweza kuwa katika mradi mmoja, miradi tofauti ya shirika moja, au miradi tofauti ya mashirika tofauti.
Hizi ndizo ruhusa zinazohitajika:
compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
