AWS - VPC & Networking Basic Information

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'ı desteklemenin diğer yolları:

AWS Ağlama Özeti

Bir VPC, 10.0.0.0/16 gibi bir ağ CIDR'si içerir (kendi yönlendirme tablosu ve ağ ACL'si ile birlikte).

Bu VPC ağı, alt ağlara bölünür, bu nedenle bir alt ağ, VPC, yönlendirme tablosu ve ağ ACL'si ile doğrudan ilişkilidir.

Daha sonra, hizmetlere (örneğin EC2 örneklerine) bağlı olan Ağ Arayüzleri, güvenlik grubu(lar)yla alt ağlara bağlanır.

Bu nedenle, bir güvenlik grubu, kullanılan ağ arayüzlerinin açıkta kalan bağlantı noktalarını, alt ağdan bağımsız olarak sınırlayacaktır. Ve bir ağ ACL'si, tüm ağa açıkta kalan bağlantı noktalarını sınırlayacaktır.

Ayrıca, İnternet'e erişmek için kontrol edilmesi gereken bazı ilginç yapılandırmalar vardır:

  • Bir alt ağ, genel IPv4 adreslerini otomatik olarak atayabilir

  • IPv4 adreslerini otomatik olarak atayan bir ağda oluşturulan bir örnek, bir tane alabilir

  • Bir İnternet ağı geçidi, VPC'ye bağlanmalıdır

  • Ayrıca yalnızca çıkış İnternet ağ geçitlerini kullanabilirsiniz

  • Bir özel alt ağda bir NAT ağı geçidi olabilir, böylece bu özel alt ağdan harici hizmetlere bağlanmak mümkün olur, ancak dışarıdan bunlara erişmek mümkün değildir.

  • NAT ağı geçidi genel (İnternet'e erişim) veya özel (diğer VPC'lere erişim) olabilir

VPC

Amazon Virtual Private Cloud (Amazon VPC), tanımladığınız bir sanal ağa AWS kaynaklarını başlatmanızı sağlar. Bu sanal ağ, birkaç alt ağa, İnternet'e erişmek için İnternet Ağ Geçitlerine, ACL'lere, Güvenlik gruplarına, IP'lere sahip olacaktır...

Alt Ağlar

Alt ağlar daha yüksek bir güvenlik seviyesini zorlar. Benzer kaynakların mantıksal gruplandırılması, altyapınızda bir yönetim kolaylığı sağlamanıza yardımcı olur.

  • Geçerli CIDR, /16 netmask'ten /28 netmask'e kadar olanlardır.

  • Bir alt ağ aynı anda farklı kullanılabilirlik bölgelerinde olamaz.

  • AWS, her alt ağın ilk üç ana IP adresini içsel AWS kullanımı için ayırır: İlk kullanılan ana adres VPC yönlendiricisi içindir. İkinci adres AWS DNS için ayrılmıştır ve üçüncü adres gelecekteki kullanım için ayrılmıştır.

  • Doğrudan İnternet erişimi olan alt ağlara genel alt ağlar denir, özel alt ağlar ise buna sahip değildir.

Yönlendirme Tabloları

Yönlendirme tabloları, bir VPC içindeki bir alt ağ için trafik yönlendirmesini belirler. Hangi ağ trafiğinin İnternet'e veya bir VPN bağlantısına yönlendirileceğini belirler. Genellikle aşağıdaki erişimlere sahip olacaksınız:

  • Yerel VPC

  • NAT

  • İnternet Ağ Geçitleri / Yalnızca çıkış İnternet ağ geçitleri (Bir VPC'ye İnternet erişimi sağlamak için gereklidir).

  • Bir alt ağı genel yapmak için VPC'nize bir İnternet ağı geçidi oluşturmanız ve bağlamanız gerekmektedir.

  • VPC uç noktaları (özel ağlardan S3'e erişim sağlamak için)

Aşağıdaki görüntülerde, varsayılan bir genel ağ ve özel bir ağdaki farkları kontrol edebilirsiniz:

ACL'ler

Ağ Erişim Kontrol Listeleri (ACL'ler): Ağ ACL'leri, bir alt ağa gelen ve çıkan ağ trafiğini kontrol eden güvenlik duvarı kurallarıdır. Belirli IP adreslerine veya aralıklara trafiği izin vermek veya reddetmek için kullanılabilirler.

  • Erişimi izin vermek / reddetmek için genellikle güvenlik gruplarını kullanmak daha yaygındır, ancak bu, zaten kurulmuş olan ters kabuk bağlantılarını tamamen kesmenin tek yoludur. Güvenlik gruplarında yapılan bir değişiklik, zaten kurulmuş bağlantıları durdurmaz

  • Bununla birlikte, bu, tüm alt ağa uygulanır, bu n

Güvenlik Grupları

Güvenlik grupları, bir VPC'deki örneklerin gelen ve giden ağ trafiğini kontrol eden sanal bir güvenlik duvarıdır. Genellikle bu, örneklerdeki tehlikeli portları açmak için kullanılır, örneğin port 22 gibi:

Elastik IP Adresleri

Bir Elastik IP adresi, dinamik bulut bilişimi için tasarlanmış bir statik IPv4 adresidir. Bir Elastik IP adresi AWS hesabınıza tahsis edilir ve serbest bırakana kadar size aittir. Bir Elastik IP adresi kullanarak, bir örneğin veya yazılımın başarısızlığını hızla başka bir örneğe yeniden haritalayarak adresin başarısızlığını gizleyebilirsiniz.

Alt ağlar arasındaki bağlantı

Varsayılan olarak, tüm alt ağlarda otomatik olarak atanan genel IP adresleri kapalıdır, ancak açılabilir.

Bir rota tablosu içindeki yerel bir rota, VPC alt ağları arasında iletişimi sağlar.

Farklı bir alt ağı başka bir alt ağa bağlıyorsanız, bağlı alt ağlara erişemezsiniz, doğrudan onlarla bağlantı oluşturmanız gerekir. Bu, internet ağ geçitleri için de geçerlidir. İnternete erişmek için bir alt ağ bağlantısından geçemezsiniz, alt ağınıza internet ağ geçidini atamanız gerekir.

VPC Eşleme

VPC eşlemesi, birbirine bağlı iki veya daha fazla VPC'yi IPV4 veya IPV6 kullanarak aynı ağın bir parçasıymış gibi bağlamanıza olanak tanır.

Eşleme bağlantısı kurulduktan sonra, bir VPC'deki kaynaklar diğer VPC'lerdeki kaynaklara erişebilir. VPC'ler arasındaki bağlantı, mevcut AWS ağ altyapısı üzerinden uygulanır ve bu nedenle yüksek kullanılabilirlik sağlar ve bant genişliği darboğazı olmaz. Eşleşen bağlantılar aynı ağın bir parçasıymış gibi çalıştığından, kullanılabilecek CIDR blok aralıkları konusunda kısıtlamalar vardır. VPC'lerinizin örtüşen veya yinelenen CIDR aralıkları varsa, VPC'leri birleştiremezsiniz. Her AWS VPC'si yalnızca kendi eşleşmesiyle iletişim kurar. Örneğin, VPC 1 ve VPC 2 arasında bir eşleşme bağlantısı ve VPC 2 ve VPC 3 arasında başka bir bağlantı olduğunu varsayarsak, VPC 1 ve 2 doğrudan birbirleriyle iletişim kurabilir, VPC 2 ve VPC 3 de aynı şekilde iletişim kurabilir, ancak VPC 1 ve VPC 3 iletişim kuramaz. Başka bir VPC'ye gitmek için bir VPC üzerinden yönlendirme yapamazsınız.

VPC Akış Günlükleri

VPC'nizde, farklı alt ağlar arasında ve VPC eşleme bağlantıları aracılığıyla hem genel hem de özel alt ağlar arasında yüzlerce veya hatta binlerce kaynak arasında iletişim olabilir. VPC Akış Günlükleri, VPC'nizdeki kaynaklarınızın ağ arayüzleri arasında akış halindeki IP trafiği bilgilerini yakalamanıza olanak tanır.

S3 erişim günlükleri ve CloudFront erişim günlüklerinin aksine, VPC Akış Günlükleri tarafından oluşturulan günlük verileri S3'te depolanmaz. Bunun yerine, yakalanan günlük verileri CloudWatch günlüklerine gönderilir.

Sınırlamalar:

  • Eşleşmiş bir VPC bağlantısı çalıştırıyorsanız, aynı hesap içindeki eşleşmiş VPC'lerin akış günlüklerini görebilirsiniz.

  • EC2-Classic ortamında hala kaynaklar çalıştırıyorsanız, maalesef arayüzlerinden bilgi alamazsınız.

  • Bir VPC Akış Günlüğü oluşturulduktan sonra değiştirilemez. VPC Akış Günlüğü yapılandırmasını değiştirmek için silmeniz ve ardından yeni bir tane oluşturmanız gerekir.

  • Aşağıdaki trafiğin günlükler tarafından izlenmediğini ve yakalanmadığını unutmayın: VPC içindeki DHCP trafiği, Amazon DNS Sunucusu için hedeflenen örneklerden gelen trafiğ.

  • VPC varsayılan yönlendiricisi için IP adresine yönlendirilen trafiğin ve 169.254.169.254 (örnek meta verilerini toplamak için kullanılır) ve 169.254.169.123 (Amazon Zaman Senkronizasyon Hizmeti için kullanılır) adreslerine yönlendirilen trafiğin.

  • Bir Windows örneğinden Amazon Windows etkinleştirme lisansına yönelik trafiğin.

  • Bir ağ yük dengeleyici arayüzü ile bir uç nokta ağ arayüzü arasındaki trafiğin.

CloudWatch günlük grubuna veri yayınlayan her ağ arayüzü için farklı bir günlük akışı kullanılır. Ve bu akışların her birinde, günlük girişlerinin içeriğini gösteren akış günlüğü etkinlik verileri bulunur. Bu günlükler, yaklaşık 10 ila 15 dakikalık bir pencere boyunca veri yakalar.

VPN

Temel AWS VPN Bileşenleri

  1. Müşteri Ağ Geçidi:

  • Bir Müşteri Ağ Geçidi, bir VPN bağlantısının sizin tarafınızı temsil etmek için AWS'de oluşturduğunuz bir kaynaktır.

  • Temel olarak, Site-to-Site VPN bağlantısının sizin tarafınızdaki fiziksel bir cihaz veya yazılım uygulamasıdır.

  • Yönlendirme bilgilerini ve ağ cihazınızın (bir yönlendirici veya bir güvenlik duvarı gibi) genel IP adresini AWS'ye sağlayarak bir Müşteri Ağ Geçidi oluşturursunuz.

  • VPN bağlantısını kurmak için bir referans noktası olarak hizmet verir ve ek ücretlendirme yapmaz.

  1. Sanal Özel Ağ Geçidi:

  • Sanal Özel Ağ Geçidi (VPG), Site-to-Site VPN bağlantısının Amazon tarafındaki VPN konsantratörüdür.

  • VPG, VPC'nize bağlıdır ve VPN bağlantınızın hedefi olarak hizmet verir.

  • VPG, VPN bağlantısının AWS tarafındaki uç noktasıdır.

  • VPC'nizle kendi yerel ağınız arasındaki güvenli iletişimi yönetir.

  1. Site-to-Site VPN Bağlantısı:

  • Site-to-Site VPN bağlantısı, güvenli, IPsec VPN tüneli aracılığıyla yerel ağınızı bir VPC'ye bağlar.

  • Bu tür bir bağlantı için bir Müşteri Ağ Geçidi ve bir Sanal Özel Ağ Geçidi gereklidir.

  • Veri merkeziniz veya ağınız ile AWS ortamınız arasında güvenli, istikrarlı ve tutarlı iletişim için kullanılır.

  • Genellikle düzenli, uzun vadeli bağlantılar için kullanılır ve bağlantı üzerinden aktarılan veri miktarına göre faturalandır

Sınırlamalar

  • Sanal özel ağ geçidindeki VPN bağlantıları IPv6 trafiğini desteklemez.

  • Bir AWS VPN bağlantısı, Path MTU Keşfi'ni desteklemez.

Ayrıca, Site-to-Site VPN kullanırken aşağıdakileri dikkate alın.

  • VPC'lerinizi ortak bir yerel ağa bağlarken, ağlarınız için örtüşmeyen CIDR blokları kullanmanızı öneririz.

İstemci VPN

Makinenizden VPC'nize bağlanın

Kavramlar

  • İstemci VPN uç noktası: İstemci VPN oturumlarını etkinleştirmek ve yönetmek için oluşturduğunuz ve yapılandırdığınız kaynak. Tüm istemci VPN oturumlarının sonlandırıldığı kaynaktır.

  • Hedef ağ: Hedef ağı, bir İstemci VPN uç noktasıyla ilişkilendirdiğiniz ağdır. Bir VPC'den bir alt ağ hedef ağıdır. Bir alt ağı bir İstemci VPN uç noktasıyla ilişkilendirmek, VPN oturumları kurmanızı sağlar. Yüksek kullanılabilirlik için bir İstemci VPN uç noktasıyla birden çok alt ağı ilişkilendirebilirsiniz. Tüm alt ağlar aynı VPC'den olmalıdır. Her alt ağ farklı bir Kullanılabilirlik Bölgesine ait olmalıdır.

  • Rota: Her İstemci VPN uç noktasının, mevcut hedef ağ rotalarını tanımlayan bir rota tablosu vardır. Rota tablosundaki her rota, belirli kaynaklar veya ağlar için trafiğin yolunu belirtir.

  • Yetkilendirme kuralları: Bir yetkilendirme kuralı, bir ağa erişebilecek kullanıcıları sınırlar. Belirtilen bir ağ için, erişime izin verilen Active Directory veya kimlik sağlayıcı (IdP) grubunu yapılandırırsınız. Yalnızca bu gruba ait kullanıcılar belirtilen ağa erişebilir. Varsayılan olarak yetkilendirme kuralları yoktur ve kullanıcıların kaynaklara ve ağlara erişmesini sağlamak için yetkilendirme kurallarını yapılandırmanız gerekir.

  • İstemci: VPN oturumu kurmak için İstemci VPN uç noktasına bağlanan son kullanıcı. Son kullanıcılar, bir OpenVPN istemcisi indirmeli ve VPN oturumu kurmak için oluşturduğunuz İstemci VPN yapılandırma dosyasını kullanmalıdır.

  • İstemci CIDR aralığı: İstemci IP adreslerini atamak için kullanılacak bir IP adres aralığı. İstemci VPN uç noktasına yapılan her bağlantı, istemci CIDR aralığından benzersiz bir IP adresi atanır. İstemci CIDR aralığını seçersiniz, örneğin 10.2.0.0/16.

  • İstemci VPN bağlantı noktaları: AWS İstemci VPN, TCP ve UDP için 443 ve 1194 bağlantı noktalarını destekler. Varsayılan bağlantı noktası 443'tür.

  • İstemci VPN ağ arabirimleri: Bir alt ağı İstemci VPN uç noktanıza ilişkilendirdiğinizde, o alt ağda İstemci VPN ağ arabirimleri oluştururuz. İstemci VPN uç noktasından VPC'ye gönderilen trafiğin İstemci VPN ağ arabiriminden geçmesi sağlanır. Ardından, istemci CIDR aralığından gelen kaynak IP adresi, İstemci VPN ağ arabirimi IP adresine çevrilir.

  • Bağlantı günlüğü: İstemci VPN uç noktanız için bağlantı günlüğünü etkinleştirebilirsiniz. Bu bilgileri kullanarak, İstemci VPN uç noktanızın nasıl kullanıldığını analiz edebilir, sorunları gidermeye yardımcı olabilir veya adli bilişim çalışmaları yapabilirsiniz.

  • Self-servis portalı: İstemci VPN uç noktanız için bir self-servis portalı etkinleştirebilirsiniz. İstemciler, kimlik bilgilerini kullanarak web tabanlı porta giriş yapabilir ve İstemci VPN uç noktası yapılandırma dosyasının veya AWS tarafından sağlanan en son sürümünü indirebilir.

Sınırlamalar

  • İstemci CIDR aralıkları, ilişkili alt ağın bulunduğu VPC'nin yerel CIDR'ı veya İstemci VPN uç noktasının rota tablosuna manuel olarak eklenen herhangi bir rota ile örtüşemez.

  • İstemci CIDR aralıkları, en az /22 blok boyutuna sahip olmalı ve /12'den büyük olmamalıdır.

  • İstemci CIDR aralığındaki IP adreslerinin bir bölümü, İstemci VPN uç noktasının kullanılabilirlik modelini desteklemek için kullanılır ve istemcilere atanamaz. Bu nedenle, İstemci VPN uç noktasında desteklemeyi planladığınız maksimum eşzamanlı bağlantı sayısını etkinleştirmek için gereken IP adresi sayısının iki katını içeren bir CIDR bloğu atamanızı öneririz.

  • İstemci CIDR aralığı, İstemci VPN uç noktasını oluşturduktan sonra değiştirilemez.

  • İstemci VPN uç noktasıyla ilişkilendirilen alt ağlar aynı VPC'de olmalıdır.

  • Aynı Kullanılabilirlik Bölgesinden birden çok alt ağı İstemci VPN uç noktasıyla ilişkilendiremezsiniz.

  • İstemci VPN uç noktası, ayrıcalıklı bir kiracılık VPC'sinde alt ağ ilişkilendirmelerini desteklemez.

  • İstemci VPN yalnızca IPv4 trafiğini destekler.

  • İstemci VPN, Federal Bilgi İşleme Standartları (FIPS) uyumlu değildir.

  • Eğer Active Directory'niz için çok faktörlü kimlik doğrulama (MFA) devre dışı bırakılmışsa, bir kullanıcı şifresi aşağıdaki formatta olamaz.

SCRV1:<base64_encoded_string>:<base64_encoded_string>
  • Karşılıklı kimlik doğrulama kullanarak kimlik doğrulama yapan istemciler için self-servis portalı kullanılamaz.

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

Last updated