GCP - VPC & Networking

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

GCP Compute Networking in a Nutshell

VPCs zina sheria za Firewall kuruhusu trafiki inayokuja kwenye VPC. VPCs pia zina subnetworks ambapo mashine za virtual zitakuwa zimeunganishwa. Ikilinganishwa na AWS, Firewall ingekuwa kitu cha karibu na AWS Security Groups na NACLs, lakini katika kesi hii hizi zina mwelekeo katika VPC na si katika kila mfano.

VPC, Subnetworks & Firewalls in GCP

Compute Instances zimeunganishwa subnetworks ambazo ni sehemu ya VPCs (Virtual Private Clouds). Katika GCP hakuna makundi ya usalama, kuna VPC firewalls zenye sheria zilizofafanuliwa katika kiwango hiki cha mtandao lakini zinatumika kwa kila VM Instance.

Subnetworks

VPC inaweza kuwa na subnetworks kadhaa. Kila subnetwork iko katika eneo 1.

Firewalls

Kwa kawaida, kila mtandao una sheria mbili za firewall zilizodhamiriwa: ruhusu outbound na kata inbound.

Wakati mradi wa GCP unaundwa, VPC inayoitwa default pia inaundwa, ikiwa na sheria zifuatazo za firewall:

  • default-allow-internal: ruhusu trafiki yote kutoka kwa mifano mingine kwenye mtandao wa default

  • default-allow-ssh: ruhusu 22 kutoka kila mahali

  • default-allow-rdp: ruhusu 3389 kutoka kila mahali

  • default-allow-icmp: ruhusu ping kutoka kila mahali

Kama unavyoona, sheria za firewall huwa na ruhusa zaidi kwa anwani za IP za ndani. VPC ya kawaida inaruhusu trafiki yote kati ya Compute Instances.

Sheria zaidi za Firewall zinaweza kuundwa kwa VPC ya kawaida au kwa VPC mpya. Sheria za Firewall zinaweza kutumika kwa mifano kupitia mbinu zifuatazo:

Kwa bahati mbaya, hakuna amri rahisi ya gcloud kutoa mifano yote ya Compute yenye bandari wazi kwenye mtandao. Lazima uunganishe alama kati ya sheria za firewall, lebo za mtandao, akaunti za huduma, na mifano.

Mchakato huu umejumuishwa kwa kutumia hii python script ambayo itasafirisha yafuatayo:

  • Faili ya CSV inayoonyesha mfano, IP ya umma, TCP inayoruhusiwa, UDP inayoruhusiwa

  • skana ya nmap kulenga mifano yote kwenye bandari zinazoruhusiwa kutoka kwa mtandao wa umma (0.0.0.0/0)

  • masscan kulenga safu kamili ya TCP ya mifano hiyo inayoruhusu BANDARI ZOTE za TCP kutoka kwa mtandao wa umma (0.0.0.0/0)

Hierarchical Firewall Policies

Sera za firewall za kihierarkia zinakuwezesha kuunda na kutekeleza sera thabiti za firewall katika shirika lako. Unaweza kupeana sera za firewall za kihierarkia kwa shirika kwa ujumla au kwa folders za kibinafsi. Sera hizi zina sheria ambazo zinaweza kukataa au kuruhusu mawasiliano kwa wazi.

Unaunda na kutekeleza sera za firewall kama hatua tofauti. Unaweza kuunda na kutekeleza sera za firewall katika mashirika au folda za nodi za hierarchia ya rasilimali. Sheria ya sera ya firewall inaweza kuzuia mawasiliano, kuruhusu mawasiliano, au kuchelewesha tathmini ya sheria za firewall kwa folda za chini au sheria za firewall za VPC zilizofafanuliwa katika mitandao ya VPC.

Kwa kawaida, sheria zote za sera za firewall za kihierarkia zinatumika kwa VMs zote katika miradi yote chini ya shirika au folda ambapo sera hiyo inahusishwa. Hata hivyo, unaweza kuzuia VMs zipi zinapata sheria fulani kwa kubainisha mitandao ya lengo au akaunti za huduma za lengo.

Unaweza kusoma hapa jinsi ya kuunda Sera ya Firewall ya Kihierarkia.

Firewall Rules Evaluation

  1. Org: Sera za firewall zilizotolewa kwa Shirika

  2. Folder: Sera za firewall zilizotolewa kwa Folda

  3. VPC: Sheria za firewall zilizotolewa kwa VPC

  4. Global: Aina nyingine ya sheria za firewall ambazo zinaweza kutolewa kwa VPCs

  5. Regional: Sheria za firewall zinazohusishwa na mtandao wa VPC wa NIC ya VM na eneo la VM.

VPC Network Peering

Inaruhusu kuunganisha mitandao miwili ya Virtual Private Cloud (VPC) ili rasilimali katika kila mtandao ziweze kuwasiliana na kila mmoja. Mitandao ya VPC iliyounganishwa inaweza kuwa katika mradi mmoja, miradi tofauti ya shirika moja, au miradi tofauti ya mashirika tofauti.

Hizi ndizo ruhusa zinazohitajika:

  • compute.networks.addPeering

  • compute.networks.updatePeering

  • compute.networks.removePeering

  • compute.networks.listPeeringRoutes

Zaidi katika nyaraka.

References

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Last updated