Az - Azure Network

Sıfırdan kahraman olmak için AWS hackleme öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!

HackTricks'i desteklemenin diğer yolları:

  • Şirketinizi HackTricks'te reklamını görmek istiyorsanız veya HackTricks'i PDF olarak indirmek istiyorsanız [ABONELİK PLANLARI]'na(https://github.com/sponsors/carlospolop) göz atın!

  • [PEASS Ailesi]'ni(https://opensea.io/collection/the-peass-family) keşfedin, özel [NFT'ler]'imiz(https://opensea.io/collection/the-peass-family) koleksiyonumuz

  • Katılın 💬 Discord grubuna veya telegram grubuna veya bizi Twitter 🐦 @hacktricks_live** takip edin.**

  • Hacking püf noktalarınızı paylaşarak PR'lar göndererek HackTricks ve HackTricks Cloud github depolarına katkıda bulunun.

Temel Bilgiler

Azure'daki ağlar, çeşitli Azure hizmetleri ve kaynakları arasındaki bağlantı ve iletişimi sağlayan bulut bilişim platformunun ayrılmaz bir parçası olarak işlev görür. Azure'daki ağ mimarisi, yüksek ölçeklenebilirlik, güvenlik ve özelleştirilebilirlik sağlamak üzere tasarlanmıştır.

Temelde, Azure, kullanıcıların Azure bulutu içinde izole edilmiş ağlar oluşturmalarına izin veren bir sanal ağ (VNet) sağlar. Bu VNet'ler içinde sanal makineler, uygulamalar ve veritabanları gibi kaynaklar güvenli bir şekilde barındırılıp yönetilebilir. Azure'daki ağ, hem bulut içindeki iletişimi (Azure hizmetleri arasında) hem de harici ağlara ve internete bağlantıyı destekler.

Güvenlik, Azure ağının kritik bir yönüdür ve verileri korumak, erişimi yönetmek ve uyumluluğu sağlamak için çeşitli araçlar ve hizmetler mevcuttur. Bu güvenlik önlemleri arasında güvenlik duvarları, ağ güvenlik grupları ve şifreleme yetenekleri bulunur, bu da trafiği ve erişimi yüksek bir kontrol seviyesine olanak tanır.

Genel olarak, Azure'ın ağ yetenekleri, kullanıcıların belirli uygulama ve iş yükü ihtiyaçlarına uygun bir ağ ortamı oluşturmalarına olanak tanıyacak şekilde esneklik sunacak şekilde tasarlanmış olup güvenlik ve güvenilirlik üzerinde güçlü bir vurgu yapmaktadır.

Sanal Ağ (VNET) ve Alt Ağlar

Azure'daki bir VNet, bulutta kendi ağınızın bir temsilidir. Bu, aboneliğinize özel Azure bulutunda bir mantıksal izolasyon sağlar. Bir VNet, Azure'da sanal özel ağlar (VPN'ler) oluşturmanıza ve yönetmenize olanak tanır ve Sanal Makineler (VM'ler), veritabanları ve uygulama hizmetleri gibi çeşitli türdeki Azure kaynaklarını barındırmak ve yönetmek için kullanılabilir.

VNets, IP adresi aralıkları, alt ağ oluşturma, yönlendirme tabloları ve ağ geçitleri dahil olmak üzere ağ ayarlarınız üzerinde tam kontrol sağlar.

Bir alt ağ, VNet'inizdeki bir IP adresi aralığıdır. Bir VNet'i güvenlik ve organizasyon için birden fazla alt ağa bölebilirsiniz. Bir VNet'teki her alt ağ, kaynakları ağ ve uygulama mimarinize göre izole etmek ve gruplamak için kullanılabilir.

Ayrıca, alt ağlar, kaynakların kullanabileceği IP adreslerini sağlayarak VNet'inizi bir veya daha fazla alt ağa bölmeye olanak tanır.

Örnek

  • Diyelim ki MyVNet adında bir VNet'iniz var ve IP adres aralığı 10.0.0.0/16. Bu VNet içinde, diyelim ki web sunucularını barındırmak için Subnet-1 adında bir alt ağ oluşturabilirsiniz, IP adres aralığı 10.0.0.0/24. Veritabanı sunucularınız için kullanılabilecek Subnet-2 adında başka bir alt ağ, IP adres aralığı 10.0.1.0/24 olabilir. Bu segmentasyon, ağ içinde verimli yönetim ve güvenlik kontrollerine olanak tanır.

Numaralandırma

Bir Azure hesabındaki tüm VNets ve alt ağları listelemek için Azure Komut Satırı Arayüzü (CLI) kullanabilirsiniz. İşte adımlar:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

Ağ Güvenlik Grupları (NSG)

Azure'da Ağ Güvenlik Grubu (NSG), bir Azure Sanal Ağı (VNet) içindeki Azure kaynaklarına gelen ve giden ağ trafiğini filtreleme temel işlevini yerine getirir. Ağ trafiğinin akışını titizlikle belirleyen bir dizi güvenlik kuralını içerir.

NSG'nin temel yönleri şunlardır:

  • Trafik Kontrolü: Her NSG, çeşitli Azure kaynaklarıyla ilişkili gelen ve giden ağ trafiğini izin verme veya engelleme konusunda önemli olan kuralları içerir.

  • Kural Bileşenleri: Bir NSG içindeki kurallar son derece belirleyicidir ve kaynak/hedef IP adresi, bağlantı noktası ve protokol gibi kriterlere göre trafiği filtreler. Bu belirleyicilik, ağ trafiğinin ayrıntılı yönetimine olanak tanır.

  • Güvenlik Artırımı: Yalnızca yetkili trafiğin Azure kaynaklarınıza giriş yapmasına veya çıkış yapmasına izin vererek, NSG'ler ağ altyapınızın güvenlik durumunu güçlendirmede önemli bir rol oynar.

Örnek

  • Bir VNet içindeki bir alt ağa veya belirli bir sanal makineye uygulanan MyNSG adında bir NSG'niz olduğunu hayal edin. Şu tür kurallar oluşturabilirsiniz:

  • Herhangi bir kaynaktan web sunucularınıza (port 80) gelen HTTP trafiğine izin veren bir gelen kural.

  • Belirli bir hedef IP adresi aralığına yalnızca SQL trafiğine (port 1433) izin veren bir giden kural.

Numaralandırma

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

Azure Güvenlik Duvarı

Azure Güvenlik Duvarı, Azure Sanal Ağ kaynaklarını koruyan yönetilen, bulut tabanlı bir ağ güvenliği hizmetidir. Dahili yüksek kullanılabilirlik ve ölçeklenebilirlik özelliklerine sahip tam stateful bir güvenlik duvarı hizmetidir.

Azure Güvenlik Duvarı, NSG'lerden daha gelişmiş özellikler sunar, bunlar arasında uygulama düzeyinde filtreleme, ağ düzeyinde filtreleme, tehdit istihbaratına dayalı filtreleme ve günlükleme ve analiz için Azure Monitor ile entegrasyon bulunur. Dışa doğru, içeriye doğru, konuşan-arasında, VPN ve ExpressRoute trafiğini filtreleyebilir. Güvenlik duvarı kuralları FQDN (Tam Tanımlı Alan Adı), IP adresleri ve portlara dayalı olarak oluşturulabilir.

Azure Güvenlik Duvarı ve NSG'ler Arasındaki Farklar

  1. Kapsam:

  • NSG: Alt ağ veya ağ arayüzü seviyesinde çalışır. Ağ arayüzlerinden (NIC), sanal makinelerden veya alt ağlardan gelen giden ve giden trafiği temel filtreleme amacıyla sağlar.

  • Azure Güvenlik Duvarı: VNet seviyesinde çalışır, daha geniş bir koruma kapsamı sağlar. Sanal ağ kaynaklarınızı güvence altına almak ve VNet'e giren ve çıkan trafiği yönetmek için tasarlanmıştır.

  1. Yetenekler:

  • NSG: IP adresine, porta ve protokole dayalı temel filtreleme yetenekleri sağlar. Uygulama düzeyinde inceleme veya tehdit istihbaratı gibi gelişmiş özellikleri desteklemez.

  • Azure Güvenlik Duvarı: Uygulama düzeyinde (Katman 7) trafiği filtreleme, tehdit istihbaratına dayalı filtreleme, ağ trafiği filtreleme ve daha fazlası gibi gelişmiş özellikler sunar. Ayrıca birden fazla genel IP adresini destekler.

  1. Kullanım Senaryoları:

  • NSG: Temel ağ düzeyinde trafiği filtrelemek için idealdir.

  • Azure Güvenlik Duvarı: Uygulama düzeyinde kontrol, günlükleme ve tehdit istihbaratının gerektiği daha karmaşık filtreleme senaryoları için uygundur.

  1. Yönetim ve İzleme:

  • NSG: Temel günlükleme ve Azure Monitor ile entegrasyon sunar.

  • Azure Güvenlik Duvarı: Trafik doğasını ve desenini anlamak için gerekli olan gelişmiş günlükleme ve analiz yetenekleri sağlar. Bu, Azure Monitor aracılığıyla gerçekleştirilir.

Numaralandırma

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

Ağ Sanal Cihazı (NVA)

Bir Ağ Sanal Cihazı (NVA) Azure'da bir sanal ağ içinde ağ işlevlerini gerçekleştiren sanal bir cihazdır. NVAlar genellikle Azure'da doğal olarak mevcut olmayan ağ işlevleri için veya daha fazla özelleştirme gerektiğinde kullanılır. Temelde ağ uygulamalarını veya hizmetlerini çalıştıran VM'lerdir, örneğin güvenlik duvarları, WAN optimize ediciler veya yük dengeleyiciler gibi.

NVAlar karmaşık yönlendirme, güvenlik ve ağ trafiği yönetimi görevleri için kullanılır. Azure Marketplace üzerinden dağıtılabilirler, burada birçok üçüncü taraf satıcı, Azure ortamlarına entegre edilmeye hazır cihazlarını sunar.

Örnek

  • Bir kuruluş, özelleştirilmiş bir güvenlik duvarı çözümü oluşturmak için Azure'da bir NVA dağıtabilir. Bu NVA, gelişmiş özellikler sunan bir üçüncü taraf güvenlik duvarı yazılımını çalıştırabilir, örneğin sızma tespiti, paket incelemesi veya VPN bağlantısı. NVA, üzerinden geçen trafiği incelemek ve filtrelemek üzere yapılandırılabilir, böylece kuruluşun politikalarına uygun olarak gelişmiş güvenlik önlemlerinin uygulandığından emin olunabilir.

Numaralandırma

# Usually NVAs are named or tagged in a way to distinguish them from other VMs
az vm list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# For a specific VM identified as an NVA, list its network interfaces
az vm nic list --vm-name <VMName> --resource-group <ResourceGroupName> --query "[].{id:id}" -o table

Azure Hizmet Noktaları

Azure Hizmet Noktaları, sanal ağ özel adres alanınızı ve VNet'in kimliğini doğrudan bir bağlantı üzerinden Azure hizmetlerine genişletir. Hizmet noktalarını etkinleştirerek, VNet'teki kaynaklar, Azure Depolama ve Azure SQL Veritabanı gibi Azure hizmetlerine Azure'nin ana ağı üzerinden güvenli bir şekilde bağlanabilir. Bu, VNet'ten Azure hizmetine olan trafiğin Azure ağı içinde kalmasını sağlayarak, daha güvenli ve güvenilir bir yol sağlar.

Örnek

  • Örneğin, bir Azure Depolama hesabı varsayılan olarak genel internet üzerinden erişilebilirdir. VNet'iniz içinde Azure Depolama için bir hizmet noktasını etkinleştirerek, yalnızca VNet'inizden gelen trafiğin depolama hesabına erişebileceğinden emin olabilirsiniz. Depolama hesabı güvenlik duvarı daha sonra yalnızca VNet'inizden gelen trafiği kabul etmek üzere yapılandırılabilir.

Numaralandırma

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

Hizmet Noktaları ve Özel Bağlantılar Arasındaki Farklar

Microsoft, belgelerde Özel Bağlantıları kullanmayı önerir:\

Hizmet Noktaları:

  • VNet'ten Azure hizmetine trafik, genel interneti atlayarak Microsoft Azure omurga ağı üzerinden geçer.

  • Nokta, Azure hizmetine doğrudan bir bağlantıdır ve VNet içinde hizmet için özel bir IP sağlamaz.

  • Hizmet kendisi, VNet dışından genel uç noktası üzerinden hala erişilebilir, hizmet duvarınızı böyle bir trafiği engellemek için yapılandırmadıkça.

  • Alt ağ ile Azure hizmeti arasında birbirine karşılık gelen bir ilişki vardır.

  • Özel Bağlantılardan daha ucuzdur.

Özel Bağlantılar:

  • Özel Bağlantı, Azure hizmetlerini VNet'inize özel bir IP adresine sahip bir ağ arayüzü olan özel bir uç nokta aracılığıyla eşler.

  • Azure hizmetine bu özel IP adresi kullanılarak erişilir, böylece hizmetin ağınızın bir parçası gibi görünmesi sağlanır.

  • Özel Bağlantı aracılığıyla bağlanan hizmetlere yalnızca VNet'inizden veya bağlı ağlardan erişilebilir; hizmete genel internet erişimi yoktur.

  • Azure hizmetlerine veya Azure'da barındırılan kendi hizmetlerinize güvenli bir bağlantı sağlar, ayrıca diğerlerinin paylaştığı hizmetlere bağlantı sağlar.

  • Özel bir VNet'teki özel bir uç nokta aracılığıyla daha geniş bir alt ağ düzeyindeki hizmet noktası ile karşılaştırıldığında daha ayrıntılı erişim kontrolü sağlar.

Özetle, Hizmet Noktaları ve Özel Bağlantılar her ikisi de Azure hizmetlerine güvenli bağlantı sağlasa da, Özel Bağlantılar hizmetlere genel internete maruz kalmadan özel bir şekilde erişilmesini sağlayarak daha yüksek bir izolasyon ve güvenlik düzeyi sunar. Öte yandan, Hizmet Noktaları, VNet'te özel bir IP'ye ihtiyaç duyulmadan basit, güvenli erişim gerektiren genel durumlar için daha kolay kuruludur.

Azure Front Door (AFD) & AFD WAF

Azure Front Door, küresel web uygulamalarınızın hızlı teslimatı için ölçeklenebilir ve güvenli bir giriş noktasıdır. Küresel yük dengeleme, site hızlandırma, SSL deşifreleme ve Web Uygulama Güvenlik Duvarı (WAF) gibi çeşitli hizmetleri tek bir hizmette birleştirir. Azure Front Door, kullanıcıya en yakın kenar konumuna dayalı akıllı yönlendirme sağlayarak optimal performans ve güvenilirlik sağlar. Ayrıca URL tabanlı yönlendirme, çoklu site barındırma, oturum bağlılığı ve uygulama katmanı güvenliği sunar.

Azure Front Door WAF, arka uç kodunu değiştirmeden web uygulamalarını web tabanlı saldırılardan korumak için tasarlanmıştır. SQL enjeksiyonu, çapraz site komut dosyası ve diğer yaygın saldırılara karşı koruma sağlamak için özel kurallar ve yönetilen kural setleri içerir.

Örnek

  • Dünya çapında dağıtılmış bir uygulamanızın düşünün ve dünya genelinde kullanıcıları olan bir uygulamanız var. Azure Front Door'u kullanarak kullanıcı isteklerini uygulamanızı barındıran en yakın bölgesel veri merkezine yönlendirebilir, böylece gecikmeyi azaltabilir, kullanıcı deneyimini iyileştirebilir ve WAF yetenekleri ile web saldırılarına karşı savunabilirsiniz. Belirli bir bölge kesinti yaşarsa, Azure Front Door otomatik olarak trafiği en iyi konuma yönlendirerek yüksek erişilebilirlik sağlar.

Numaralandırma

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Site-to-Site VPN

Azure'daki Site-to-Site VPN, yerindeki ağınızı Azure Sanal Ağı'na (VNet) bağlamanıza olanak tanır, böylece Azure'daki VM'ler gibi kaynaklar yerel ağınızda gibi görünür. Bu bağlantı, iki ağ arasındaki trafiği şifreleyen bir VPN ağ geçidi aracılığıyla kurulur.

Örnek

  • New York'ta ana ofisi bulunan bir işletmenin, sanallaştırılmış iş yüklerine ev sahipliği yapan Azure'daki VNet'ine güvenli bir şekilde bağlanması gereken yerinde bir veri merkezi vardır. Site-to-Site VPN kurarak, şirket yerindeki sunucular ile Azure VM'leri arasında şifreli bağlantı sağlayabilir, böylece kaynaklara her iki ortamda da güvenli bir şekilde erişilebilir, sanki aynı yerel ağda gibi.

Numaralandırma

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

Azure ExpressRoute

Azure ExpressRoute, on-premises altyapınız ile Azure veri merkezleri arasında özel, adanmış, yüksek hızlı bir bağlantı sağlayan bir hizmettir. Bu bağlantı, genel interneti atlayarak bir bağlantı sağlayıcı aracılığıyla gerçekleştirilir ve tipik internet bağlantılarından daha fazla güvenilirlik, daha hızlı hızlar, daha düşük gecikmeler ve daha yüksek güvenlik sunar.

Örnek

  • Bir çok uluslu şirket, yüksek veri hacmi ve yüksek veri aktarım hızı gereksinimleri nedeniyle Azure hizmetlerine sürekli ve güvenilir bir bağlantıya ihtiyaç duyar. Şirket, günlük yedeklemeler ve gerçek zamanlı veri analitiği gibi büyük ölçekli veri transferlerini, artırılmış gizlilik ve hız ile kolaylaştırmak için on-premises veri merkezini Azure'a doğrudan bağlamak için Azure ExpressRoute'u tercih eder.

Numaralandırma

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table
Sıfırdan kahraman olmaya kadar AWS hacklemeyi öğrenin htARTE (HackTricks AWS Red Team Expert)!

HackTricks'ı desteklemenin diğer yolları:

Last updated