AWS - VPC & Networking Basic Information
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Bir VPC, 10.0.0.0/16 gibi bir ağ CIDR içerir (kendi yönlendirme tablosu ve ağ ACL ile).
Bu VPC ağı, alt ağlara bölünmüştür, bu nedenle bir alt ağ, VPC, yönlendirme tablosu ve ağ ACL ile doğrudan ilişkilidir.
Daha sonra, hizmetlere (EC2 örnekleri gibi) bağlı Ağ Arayüzleri, güvenlik grubu ile alt ağlara bağlanır.
Bu nedenle, bir güvenlik grubu, kullanılan ağ arayüzlerinin açığa çıkan portlarını alt ağa bağımsız olarak sınırlayacaktır. Ve bir ağ ACL, tüm ağa açığa çıkan portları sınırlayacaktır.
Ayrıca, İnternete erişim sağlamak için kontrol edilecek bazı ilginç yapılandırmalar vardır:
Bir alt ağ, kamu IPv4 adreslerini otomatik olarak atayabilir
Otomatik olarak IPv4 adresleri atayan ağda oluşturulan bir örnek, bir tane alabilir
Bir İnternet geçidi, VPC'ye eklenmelidir
Sadece çıkış internet geçitleri de kullanılabilir
Özel bir alt ağda bir NAT geçidi de olabilir, böylece bu özel alt ağdan harici hizmetlere bağlanmak mümkündür, ancak dışarıdan onlara ulaşmak mümkün değildir.
NAT geçidi kamu (internete erişim) veya özel (diğer VPC'lere erişim) olabilir.
Amazon Sanal Özel Bulut (Amazon VPC), tanımladığınız bir sanal ağa AWS kaynaklarını başlatmanıza olanak tanır. Bu sanal ağ, birkaç alt ağa, İnternet Geçitlerine, ACL'lere, Güvenlik gruplarına, IP'lere sahip olacaktır...
Alt ağlar, daha yüksek bir güvenlik seviyesi sağlamaya yardımcı olur. Benzer kaynakların mantıksal gruplaması, altyapınızda yönetim kolaylığı sağlamaya da yardımcı olur.
Geçerli CIDR'ler, /16 ağ maskesinden /28 ağ maskesine kadar olanlardır.
Bir alt ağ, aynı anda farklı kullanılabilirlik bölgelerinde olamaz.
AWS, her alt ağın ilk üç ana bilgisayar IP adresini içsel AWS kullanımı için ayırır: kullanılan ilk ana bilgisayar adresi VPC yönlendiricisi içindir. İkinci adres AWS DNS için ayrılmıştır ve üçüncü adres gelecekteki kullanım için ayrılmıştır.
İnternete doğrudan erişimi olan alt ağlara kamu alt ağları denir, oysa özel alt ağlar buna sahip değildir.
Yönlendirme tabloları, bir VPC içindeki bir alt ağ için trafik yönlendirmesini belirler. Hangi ağ trafiğinin internete veya bir VPN bağlantısına yönlendirileceğini belirler. Genellikle erişim bulursunuz:
Yerel VPC
NAT
İnternet Geçitleri / Sadece çıkış internet geçitleri (VPC'ye internete erişim sağlamak için gereklidir).
Bir alt ağı kamu yapmak için, VPC'nize bir İnternet geçidi oluşturmalı ve eklemelisiniz.
VPC uç noktaları (özel ağlardan S3'e erişim için)
Aşağıdaki resimlerde, varsayılan bir kamu ağı ile özel bir ağ arasındaki farkları kontrol edebilirsiniz:
Ağ Erişim Kontrol Listeleri (ACL'ler): Ağ ACL'leri, bir alt ağa gelen ve giden ağ trafiğini kontrol eden güvenlik duvarı kurallarıdır. Belirli IP adreslerine veya aralıklara trafik izni vermek veya engellemek için kullanılabilirler.
Erişimi sağlamak/engellemek için güvenlik gruplarını kullanmak en yaygın olanıdır, ancak bu, kurulu ters shell'leri tamamen kesmenin tek yoludur. Güvenlik gruplarındaki değiştirilmiş bir kural, zaten kurulmuş bağlantıları durdurmaz.
Ancak, bu tüm alt ağa uygulanır, bu nedenle engelleme yaparken dikkatli olun, çünkü gerekli işlevsellik bozulabilir.
Güvenlik grupları, bir VPC'deki örneklere gelen ve giden ağ trafiklerini kontrol eden sanal bir güvenlik duvarıdır. 1 SG ile M örnek ilişkisi (genellikle 1'e 1). Genellikle bu, örneklerde tehlikeli portları açmak için kullanılır, örneğin port 22 gibi:
Bir Elastik IP adresi, dinamik bulut bilişim için tasarlanmış bir statik IPv4 adresidir. Bir Elastik IP adresi, AWS hesabınıza tahsis edilir ve serbest bırakana kadar sizin olur. Bir Elastik IP adresi kullanarak, bir örneğin veya yazılımın başarısızlığını hızla başka bir örneğe yeniden atayarak maskeleyebilirsiniz.
Varsayılan olarak, tüm alt ağların kamu IP adreslerinin otomatik atanması kapalıdır, ancak açılabilir.
Bir yönlendirme tablosundaki yerel bir yönlendirme, VPC alt ağları arasında iletişimi sağlar.
Eğer bir alt ağı farklı bir alt ağ ile bağlıyorsanız, diğer alt ağ ile bağlı alt ağlara erişemezsiniz, onlarla doğrudan bağlantı kurmanız gerekir. Bu, internet geçitleri için de geçerlidir. İnternete erişmek için bir alt ağ bağlantısı üzerinden geçemezsiniz, internet geçidini alt ağınıza atamanız gerekir.
VPC peering, iki veya daha fazla VPC'yi, IPV4 veya IPV6 kullanarak, sanki aynı ağın bir parçasıymış gibi birbirine bağlamanıza olanak tanır.
Eş bağlantı kurulduğunda, bir VPC'deki kaynaklar diğer VPC'deki kaynaklara erişebilir. VPC'ler arasındaki bağlantı, mevcut AWS ağ altyapısı aracılığıyla uygulanır ve bu nedenle yüksek kullanılabilirlik sunar ve bant genişliği darboğazı yoktur. Eş bağlantılar, sanki aynı ağın bir parçasıymış gibi çalıştıkları için, kullanılabilecek CIDR blok aralıklarıyla ilgili kısıtlamalar vardır. Eğer VPC'niz için çakışan veya yinelenen CIDR aralıklarınız varsa, VPC'leri birbirine peering yapamazsınız. Her AWS VPC, yalnızca eşine iletişim kurar. Örneğin, VPC 1 ile VPC 2 arasında bir peering bağlantınız varsa ve VPC 2 ile VPC 3 arasında başka bir bağlantı varsa, VPC 1 ve 2 doğrudan birbirleriyle iletişim kurabilir, VPC 2 ve VPC 3 de öyle, ancak VPC 1 ve VPC 3 iletişim kuramaz. Bir VPC üzerinden diğerine yönlendirme yapamazsınız.
VPC'nizde, farklı alt ağlar arasında ve ayrıca VPC peering bağlantıları aracılığıyla farklı VPC'ler arasında iletişim kuran yüzlerce veya binlerce kaynak olabilir. VPC Akış Günlükleri, VPC'niz içindeki kaynaklarınızın ağ arayüzleri arasında akan IP trafik bilgilerini yakalamanıza olanak tanır.
S3 erişim günlükleri ve CloudFront erişim günlüklerinin aksine, VPC Akış Günlükleri tarafından üretilen günlük verileri S3'te saklanmaz. Bunun yerine, yakalanan günlük verileri CloudWatch günlüklerine gönderilir.
Sınırlamalar:
Eğer bir VPC peering bağlantısı çalıştırıyorsanız, yalnızca aynı hesap içindeki peering VPC'lerin akış günlüklerini görebilirsiniz.
Eğer hala EC2-Classic ortamında kaynaklar çalıştırıyorsanız, maalesef arayüzlerinden bilgi alamazsınız.
Bir VPC Akış Günlüğü oluşturulduktan sonra, değiştirilemez. VPC Akış Günlüğü yapılandırmasını değiştirmek için, onu silmeniz ve ardından yenisini oluşturmanız gerekir.
Aşağıdaki trafik, günlükler tarafından izlenmez ve yakalanmaz. VPC içindeki DHCP trafiği, Amazon DNS Sunucusuna yönlendirilen örneklerden gelen trafik.
VPC varsayılan yönlendiricisi için IP adresine yönlendirilen trafik ve aşağıdaki adreslere giden ve gelen trafik, 169.254.169.254, örnek meta verilerini toplamak için kullanılır ve 169.254.169.123, Amazon Zaman Senkronizasyonu Servisi için kullanılır.
Bir Windows örneğinden Amazon Windows aktivasyon lisansına ilişkin trafik
Bir ağ yük dengeleyici arayüzü ile bir uç nokta ağ arayüzü arasındaki trafik
CloudWatch günlük grubuna veri yayınlayan her ağ arayüzü, farklı bir günlük akışı kullanacaktır. Ve bu akışların her birinde, günlük girişlerinin içeriğini gösteren akış günlüğü olay verileri olacaktır. Bu günlükler, yaklaşık 10 ila 15 dakika süresince veri yakalar.
Müşteri Geçidi:
Müşteri Geçidi, bir VPN bağlantısının sizin tarafınızı temsil etmek için AWS'de oluşturduğunuz bir kaynaktır.
Temelde, Site-to-Site VPN bağlantınızın tarafınızdaki fiziksel bir cihaz veya yazılım uygulamasıdır.
AWS'ye bir Müşteri Geçidi oluşturmak için yönlendirme bilgilerini ve ağ cihazınızın (bir yönlendirici veya bir güvenlik duvarı gibi) genel IP adresini sağlarsınız.
VPN bağlantısını kurmak için bir referans noktası olarak hizmet eder ve ek ücretler getirmez.
Sanal Özel Geçit:
Sanal Özel Geçit (VPG), Site-to-Site VPN bağlantısının Amazon tarafındaki VPN konsantratörüdür.
VPC'nize eklenmiştir ve VPN bağlantınız için hedef olarak hizmet eder.
VPG, VPN bağlantısının AWS tarafı uç noktasıdır.
VPC'niz ile yerel ağınız arasındaki güvenli iletişimi yönetir.
Site-to-Site VPN Bağlantısı:
Site-to-Site VPN bağlantısı, yerel ağınızı bir VPC'ye güvenli, IPsec VPN tüneli aracılığıyla bağlar.
Bu tür bir bağlantı, bir Müşteri Geçidi ve bir Sanal Özel Geçit gerektirir.
Veri merkeziniz veya ağınız ile AWS ortamınız arasında güvenli, kararlı ve tutarlı iletişim için kullanılır.
Genellikle düzenli, uzun vadeli bağlantılar için kullanılır ve bağlantı üzerinden aktarılan veri miktarına göre faturalandırılır.
İstemci VPN Uç Noktası:
İstemci VPN uç noktası, istemci VPN oturumlarını etkinleştirmek ve yönetmek için AWS'de oluşturduğunuz bir kaynaktır.
Bireysel cihazların (dizüstü bilgisayarlar, akıllı telefonlar vb.) AWS kaynaklarına veya yerel ağınıza güvenli bir şekilde bağlanmasına izin vermek için kullanılır.
Site-to-Site VPN'den farklıdır çünkü bireysel istemciler için tasarlanmıştır, tüm ağları bağlamak için değil.
İstemci VPN ile her istemci cihazı, güvenli bir bağlantı kurmak için bir VPN istemci yazılımı kullanır.
Yerel ağınızı VPC'nizle bağlayın.
VPN bağlantısı: Yerel ekipmanınız ile VPC'leriniz arasında güvenli bir bağlantı.
VPN tüneli: Müşteri ağı ile AWS arasında veri geçişinin sağlandığı şifreli bir bağlantı.
Her VPN bağlantısı, yüksek kullanılabilirlik için aynı anda kullanabileceğiniz iki VPN tüneli içerir.
Müşteri geçidi: AWS'ye müşteri geçidi cihazınız hakkında bilgi sağlayan bir AWS kaynağı.
Müşteri geçidi cihazı: Site-to-Site VPN bağlantınızın tarafınızdaki fiziksel bir cihaz veya yazılım uygulaması.
Sanal özel geçit: Site-to-Site VPN bağlantısının Amazon tarafındaki VPN konsantratörü. Site-to-Site VPN bağlantısının Amazon tarafı için bir sanal özel geçit veya transit geçit kullanırsınız.
Transit geçit: VPC'lerinizi ve yerel ağlarınızı birbirine bağlamak için kullanılabilecek bir transit merkezi. Site-to-Site VPN bağlantısının Amazon tarafı için bir transit geçit veya sanal özel geçit kullanırsınız.
Sanal özel geçitte VPN bağlantıları için IPv6 trafiği desteklenmez.
AWS VPN bağlantısı, Path MTU Keşfini desteklemez.
Ayrıca, Site-to-Site VPN kullanırken aşağıdakileri dikkate alın.
VPC'lerinizi ortak bir yerel ağa bağlarken, ağlarınız için çakışmayan CIDR blokları kullanmanızı öneririz.
Makinenizden VPC'nize bağlanın
İstemci VPN uç noktası: İstemci VPN oturumlarını etkinleştirmek ve yönetmek için oluşturduğunuz ve yapılandırdığınız kaynak. Tüm istemci VPN oturumlarının sonlandığı kaynaktır.
Hedef ağ: Hedef ağ, bir İstemci VPN uç noktası ile ilişkilendirdiğiniz ağdır. Bir VPC'den bir alt ağ, hedef ağdır. Bir alt ağı bir İstemci VPN uç noktası ile ilişkilendirmek, VPN oturumları kurmanıza olanak tanır. Yüksek kullanılabilirlik için bir İstemci VPN uç noktası ile birden fazla alt ağı ilişkilendirebilirsiniz. Tüm alt ağlar aynı VPC'den olmalıdır. Her alt ağ farklı bir Kullanılabilirlik Bölgesine ait olmalıdır.
Yönlendirme: Her İstemci VPN uç noktasının, mevcut hedef ağ yönlendirme yollarını tanımlayan bir yönlendirme tablosu vardır. Yönlendirme tablosundaki her yönlendirme, belirli kaynaklara veya ağlara trafik için yolu belirtir.
Yetkilendirme kuralları: Bir yetkilendirme kuralı, bir ağa erişebilecek kullanıcıları kısıtlar. Belirli bir ağ için, erişime izin verilen Active Directory veya kimlik sağlayıcı (IdP) grubunu yapılandırırsınız. Sadece bu gruba ait kullanıcılar belirtilen ağa erişebilir. Varsayılan olarak, yetkilendirme kuralları yoktur ve kullanıcıların kaynaklara ve ağlara erişimini sağlamak için yetkilendirme kuralları yapılandırmalısınız.
İstemci: İstemci VPN uç noktasına bağlanarak bir VPN oturumu kuran son kullanıcı. Son kullanıcıların, bir OpenVPN istemcisi indirmesi ve bir VPN oturumu kurmak için oluşturduğunuz İstemci VPN yapılandırma dosyasını kullanması gerekir.
İstemci CIDR aralığı: İstemci IP adreslerini atamak için bir IP adresi aralığı. İstemci VPN uç noktasına her bağlantı, istemci CIDR aralığından benzersiz bir IP adresi alır. İstemci CIDR aralığını seçersiniz, örneğin, 10.2.0.0/16.
İstemci VPN portları: AWS İstemci VPN, hem TCP hem de UDP için 443 ve 1194 portlarını destekler. Varsayılan port 443'tür.
İstemci VPN ağ arayüzleri: Bir alt ağı İstemci VPN uç noktanızla ilişkilendirdiğinizde, o alt ağda İstemci VPN ağ arayüzleri oluştururuz. İstemci VPN uç noktasından VPC'ye gönderilen trafik, bir İstemci VPN ağ arayüzü üzerinden gönderilir. Ardından, kaynak ağ adresi çevirisi (SNAT) uygulanır; burada istemci CIDR aralığından gelen kaynak IP adresi, İstemci VPN ağ arayüzü IP adresine çevrilir.
Bağlantı günlüğü: İstemci VPN uç noktanız için bağlantı günlüğünü etkinleştirebilirsiniz. Bu bilgiyi, adli analiz yapmak, İstemci VPN uç noktanızın nasıl kullanıldığını analiz etmek veya bağlantı sorunlarını gidermek için kullanabilirsiniz.
Kendi kendine hizmet portalı: İstemci VPN uç noktanız için bir kendi kendine hizmet portalı etkinleştirebilirsiniz. Müşteriler, kimlik bilgilerini kullanarak web tabanlı portala giriş yapabilir ve İstemci VPN uç noktasının yapılandırma dosyasının en son sürümünü veya AWS tarafından sağlanan istemcinin en son sürümünü indirebilir.
İstemci CIDR aralıkları, ilişkili alt ağın bulunduğu VPC'nin yerel CIDR'si ile çakışamaz veya İstemci VPN uç noktasının yönlendirme tablosuna manuel olarak eklenen herhangi bir yönlendirme ile çakışamaz.
İstemci CIDR aralıklarının en az /22 blok boyutuna sahip olması ve /12'den büyük olmaması gerekir.
İstemci CIDR aralığındaki adreslerin bir kısmı, İstemci VPN uç noktasının kullanılabilirlik modelini desteklemek için kullanılır ve müşterilere atanamaz. Bu nedenle, İstemci VPN uç noktasında desteklemeyi planladığınız maksimum eşzamanlı bağlantı sayısını etkinleştirmek için gerekli IP adreslerinin iki katını içeren bir CIDR bloğu atamanızı öneririz.
İstemci VPN uç noktası oluşturulduktan sonra istemci CIDR aralığı değiştirilemez.
Bir İstemci VPN uç noktasına bağlı alt ağlar, aynı VPC'de olmalıdır.
Bir İstemci VPN uç noktasına aynı Kullanılabilirlik Bölgesinden birden fazla alt ağı ilişkilendiremezsiniz.
Bir İstemci VPN uç noktası, özel kiralama VPC'sinde alt ağ ilişkilerini desteklemez.
İstemci VPN yalnızca IPv4 trafiğini destekler.
İstemci VPN, Federal Bilgi İşleme Standartlarına (FIPS) uygun değildir.
Çok faktörlü kimlik doğrulama (MFA) Active Directory'niz için devre dışı bırakılmışsa, bir kullanıcı parolası aşağıdaki formatta olamaz.
Kendi kendine hizmet portalı, karşılıklı kimlik doğrulama kullanarak kimlik doğrulaması yapan müşteriler için mevcut değildir.
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
