GCP - VPC & Networking

AWS hackleme konusunda sıfırdan kahramana kadar öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!

HackTricks'ı desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklam görmek istiyorsanız veya HackTricks'i PDF olarak indirmek istiyorsanız ABONELİK PLANLARINI kontrol edin!
Resmi PEASS & HackTricks ürünlerini alın
PEASS Ailesi'ni keşfedin, özel NFT'lerimiz koleksiyonumuz
Katılın 💬 Discord grubuna veya telegram grubuna veya bizi Twitter 🐦 @hacktricks_live** takip edin.**
Hacking püf noktalarınızı paylaşarak PR göndererek HackTricks ve HackTricks Cloud github depolarına katkıda bulunun.

GCP Hesaplama Ağı Özetleme

VPC'ler, VPC'ye gelen trafiği izin veren Güvenlik Duvarı kurallarını içerir. VPC'ler ayrıca sanal makinelerin bağlı olacağı alt ağları içerir. AWS ile karşılaştırıldığında, Güvenlik Duvarı, AWS Güvenlik Grupları ve NACL'ler ile en yakın şey olacaktır, ancak bu durumda bunlar her örnekte değil, VPC'de tanımlanmıştır.

GCP'de VPC, Alt Ağlar ve Güvenlik Duvarları

Hesaplama Örnekleri, VPC'lerin bir parçası olan alt ağlar ile bağlantılıdır (Sanal Özel Bulutlar). GCP'de güvenlik grupları yok, bu ağ seviyesinde tanımlanan ancak her VM Örneğine uygulanan VPC güvenlik duvarları bulunmaktadır.

Alt Ağlar

Bir VPC, birkaç alt ağa sahip olabilir. Her alt ağ 1 bölgede bulunur.

Güvenlik Duvarları

Her ağın varsayılan olarak iki varsayılan güvenlik duvarı kuralı bulunmaktadır: giden trafiği izin ver ve gelen trafiği reddet.

Bir GCP projesi oluşturulduğunda, aşağıdaki güvenlik duvarı kurallarına sahip varsayılan adında bir VPC oluşturulur:

varsayılan-izin-dahili: varsayılan ağındaki diğer örneklerden tüm trafiği izin ver
varsayılan-izin-ssh: her yerden 22'ye izin ver
varsayılan-izin-rdp: her yerden 3389'a izin ver
varsayılan-izin-icmp: her yerden ping'e izin ver

Görebileceğiniz gibi, güvenlik duvarı kuralları genellikle dahili IP adresleri için daha geniş olma eğilimindedir. Varsayılan VPC, Hesaplama Örnekleri arasındaki tüm trafiği izin verir.

Daha fazla Güvenlik Duvarı kuralı, varsayılan VPC veya yeni VPC'ler için oluşturulabilir. Güvenlik Duvarı kuralları, aşağıdaki yöntemler aracılığıyla örnekler üzerine uygulanabilir:

Ağ etiketleri
Hizmet hesapları
Bir VPC içindeki tüm örnekler

Ne yazık ki, internet üzerinde açık portlara sahip tüm Hesaplama Örneklerini dökmek için basit bir gcloud komutu yoktur. Güvenlik duvarı kuralları, ağ etiketleri, hizmet hesapları ve örnekler arasındaki bağlantıları kurmanız gerekir.

Bu süreç, aşağıdaki bu python betiği kullanılarak otomatikleştirilmiştir ve aşağıdakileri dışa aktaracaktır:

Halka açık IP, izin verilen TCP, izin verilen UDP gösteren CSV dosyası
Halka açık internetden gelen tüm örnekler üzerinde portları hedefleyen nmap taraması (0.0.0.0/0)
Halka açık internetden gelen tüm TCP portlarını izin veren bu örneklerin tam TCP aralığına hedefleyen masscan taraması (0.0.0.0/0)

Hiyerarşik Güvenlik Duvarı Politikaları

Hiyerarşik güvenlik duvarı politikaları, kuruluşunuz genelinde tutarlı bir güvenlik duvarı politikası oluşturmanıza ve uygulamanıza olanak tanır. Bu politikaları kuruluşun tümüne veya bireysel klasörlere atayabilirsiniz. Bu politikalar, bağlantıları açıkça reddeden veya izin veren kurallar içerebilir.

Güvenlik duvarı politikalarını oluşturup uygulamak ayrı adımlardır. Kaynak hiyerarşisi altındaki kuruluş veya klasör düğümlerinde güvenlik duvarı politikaları oluşturabilir ve uygulayabilirsiniz. Bir güvenlik duvarı politikası kuralı, bağlantıları engelleyebilir, bağlantılara izin verebilir veya VPC ağlarında tanımlanan VPC güvenlik duvarı kurallarını daha düşük seviyedeki klasörlere veya VPC ağlarında tanımlanan VPC güvenlik duvarı kurallarına erteleyebilir.

Varsayılan olarak, tüm hiyerarşik güvenlik duvarı politikası kuralları, politikanın ilişkilendirildiği kuruluş veya klasör altındaki tüm projelerdeki tüm VM'ler için geçerlidir. Bununla birlikte, hedef ağlar veya hedef hizmet hesapları belirterek bir kuralın hangi VM'lerin alacağını kısıtlayabilirsiniz.

Hiyerarşik Güvenlik Duvarı Politikası oluşturma hakkında buradan okuyabilirsiniz.

Güvenlik Duvarı Kuralları Değerlendirmesi

Kuruluş: Kuruluşa atanan Güvenlik Duvarı politikaları
Klasör: Klasöre atanan Güvenlik Duvarı politikaları
VPC: VPC'ye atanan Güvenlik Duvarı kuralları
Global: VPC'lere atanabilen başka bir tür güvenlik duvarı kuralları
Bölgesel: VM'nin NIC'inin VPC ağı ve VM'nin bölgesi ile ilişkilendirilen Güvenlik Duvarı kuralları.

VPC Ağı Eşleme

İki Sanal Özel Bulut (VPC) ağını birbirine bağlamayı sağlar, böylece her ağdaki kaynaklar birbirleriyle iletişim kurabilir. Eşlenmiş VPC ağları aynı projede, aynı organizasyonun farklı projelerinde veya farklı organizasyonların farklı projelerinde olabilir.

Gerekli izinler şunlardır:

compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes

Daha fazlası belgelerde.

Referanslar

AWS hackleme konusunda sıfırdan kahramana kadar öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!

HackTricks'ı desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklam görmek istiyorsanız veya HackTricks'i PDF olarak indirmek istiyorsanız ABONELİK PLANLARINI kontrol edin!
Resmi PEASS & HackTricks ürünlerini alın
PEASS Ailesi'ni keşfedin, özel NFT'lerimiz koleksiyonumuz
Katılın 💬 Discord grubuna veya telegram grubuna veya bizi Twitter 🐦 @hacktricks_live** takip edin.**
Hacking püf noktalarınızı paylaşarak PR göndererek HackTricks ve HackTricks Cloud github depolarına katkıda bulunun.

PreviousGCP - Compute Instances NextGCP - Containers, GKE & Composer Enum

Last updated 6 months ago