GCP - VPC & Networking
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
VPC'ler, VPC'ye gelen trafiği izin vermek için Firewall kurallarını içerir. VPC'ler ayrıca sanallaştırılmış makinelerin bağlanacağı alt ağları içerir. AWS ile karşılaştırıldığında, Firewall, AWS Güvenlik Grupları ve NACL'lere en yakın şeydir, ancak bu durumda bunlar VPC'de tanımlanır ve her bir örnekte değil.
Compute Instances, VPC'lerin (Sanal Özel Bulutlar) bir parçası olan alt ağlara bağlıdır. GCP'de güvenlik grupları yoktur, bu ağ seviyesinde tanımlanan ancak her VM Örneğine uygulanan VPC firewall'ları vardır.
Bir VPC, birçok alt ağa sahip olabilir. Her alt ağ 1 bölgede bulunur.
Varsayılan olarak, her ağın iki anlamlı firewall kuralı vardır: çıkışa izin ver ve girişe engel ol.
Bir GCP projesi oluşturulduğunda, aşağıdaki firewall kuralları ile birlikte default adında bir VPC de oluşturulur:
default-allow-internal: default ağındaki diğer örneklerden gelen tüm trafiğe izin ver
default-allow-ssh: her yerden 22'ye izin ver
default-allow-rdp: her yerden 3389'a izin ver
default-allow-icmp: her yerden ping'e izin ver
Gördüğünüz gibi, firewall kuralları genellikle iç IP adresleri için daha izin verici olma eğilimindedir. Varsayılan VPC, Compute Instances arasında tüm trafiğe izin verir.
Varsayılan VPC veya yeni VPC'ler için daha fazla Firewall kuralı oluşturulabilir. Firewall kuralları, aşağıdaki yöntemler aracılığıyla örneklere uygulanabilir:
Bir VPC içindeki tüm örnekler
Ne yazık ki, internette açık portlara sahip tüm Compute Instances'ı döken basit bir gcloud komutu yoktur. Firewall kuralları, ağ etiketleri, hizmet hesapları ve örnekler arasında bağlantı kurmanız gerekir.
Bu süreç, aşağıdakileri dışa aktaracak olan bu python betiği kullanılarak otomatikleştirildi:
Örnek, genel IP, izin verilen TCP, izin verilen UDP gösteren CSV dosyası
Genel internetten (0.0.0.0/0) izin verilen portlara sahip tüm örnekleri hedef alan nmap taraması
Genel internetten (0.0.0.0/0) Tüm TCP portlarına izin veren bu örneklerin tam TCP aralığını hedef alan masscan
Hiyerarşik firewall politikaları, kuruluşunuz genelinde tutarlı bir firewall politikası oluşturmanıza ve uygulamanıza olanak tanır. Hiyerarşik firewall politikalarını kuruluşun tamamına veya bireysel kataloglara atayabilirsiniz. Bu politikalar, bağlantıları açıkça reddedebilen veya izin verebilen kurallar içerir.
Firewall politikalarını ayrı adımlar olarak oluşturur ve uygularsınız. Firewall politikalarını kaynak hiyerarşisi üzerindeki kuruluş veya klasör düğümlerinde oluşturabilir ve uygulayabilirsiniz. Bir firewall politika kuralı, bağlantıları engelleyebilir, bağlantılara izin verebilir veya firewall kuralı değerlendirmesini daha düşük düzeydeki klasörlere veya VPC ağlarında tanımlanan VPC firewall kurallarına erteleyebilir.
Varsayılan olarak, tüm hiyerarşik firewall politika kuralları, politikanın ilişkilendirildiği kuruluş veya klasör altındaki tüm projelerdeki tüm VM'lere uygulanır. Ancak, belirli bir kuralın hangi VM'lere uygulanacağını hedef ağlar veya hedef hizmet hesapları belirterek kısıtlayabilirsiniz.
Hiyerarşik Firewall Politikası oluşturma hakkında buradan okuyabilirsiniz.
Org: Kuruluşa atanan firewall politikaları
Klasör: Klasöre atanan firewall politikaları
VPC: VPC'ye atanan firewall kuralları
Küresel: VPC'lere atanabilen başka bir tür firewall kuralı
Bölgesel: VM'nin NIC'inin ve VM'nin bölgesinin VPC ağı ile ilişkili firewall kuralları.
İki Sanal Özel Bulut (VPC) ağını bağlayarak her ağdaki kaynakların birbirleriyle iletişim kurmasını sağlar. Peered VPC ağları aynı projede, aynı kuruluşun farklı projelerinde veya farklı kuruluşların farklı projelerinde olabilir.
Gerekli izinler şunlardır:
compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
