AWS - VPC & Networking Basic Information

Apprenez et pratiquez le Hacking AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le Hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)

Soutenez HackTricks

Consultez les plans d'abonnement!
Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez des astuces de hacking en soumettant des PRs aux dépôts github de HackTricks et HackTricks Cloud.

Réseau AWS en Bref

Un VPC contient un CIDR réseau comme 10.0.0.0/16 (avec sa table de routage et son ACL réseau).

Ce réseau VPC est divisé en sous-réseaux, donc un sous-réseau est directement lié au VPC, à la table de routage et à l'ACL réseau.

Ensuite, les Interfaces Réseau attachées aux services (comme les instances EC2) sont connectées aux sous-réseaux avec des groupes de sécurité.

Ainsi, un groupe de sécurité limitera les ports exposés des interfaces réseau qui l'utilisent, indépendamment du sous-réseau. Et un ACL réseau limitera les ports exposés à l'ensemble du réseau.

De plus, pour accéder à Internet, il y a quelques configurations intéressantes à vérifier :

Un sous-réseau peut attribuer automatiquement des adresses IPv4 publiques
Une instance créée dans le réseau qui attribue automatiquement des adresses IPv4 peut en obtenir une
Une passerelle Internet doit être attachée au VPC
Vous pouvez également utiliser des passerelles Internet uniquement sortantes
Vous pouvez également avoir une passerelle NAT dans un sous-réseau privé afin qu'il soit possible de se connecter à des services externes depuis ce sous-réseau privé, mais il est impossible de les atteindre de l'extérieur.
La passerelle NAT peut être publique (accès à Internet) ou privée (accès à d'autres VPC)

VPC

Amazon Virtual Private Cloud (Amazon VPC) vous permet de lancer des ressources AWS dans un réseau virtuel que vous avez défini. Ce réseau virtuel aura plusieurs sous-réseaux, des passerelles Internet pour accéder à Internet, des ACL, des groupes de sécurité, des IP...

Sous-réseaux

Les sous-réseaux aident à renforcer un niveau de sécurité plus élevé. Le regroupement logique de ressources similaires vous aide également à maintenir une facilité de gestion de votre infrastructure.

Les CIDR valides vont d'un masque de réseau /16 à un masque de réseau /28.
Un sous-réseau ne peut pas être dans différentes zones de disponibilité en même temps.
AWS réserve les trois premières adresses IP d'hôte de chaque sous-réseau pour l'utilisation interne d'AWS : la première adresse d'hôte utilisée est pour le routeur VPC. La deuxième adresse est réservée pour AWS DNS et la troisième adresse est réservée pour une utilisation future.
On appelle sous-réseaux publics ceux qui ont un accès direct à Internet, tandis que les sous-réseaux privés n'en ont pas.

Tables de Routage

Les tables de routage déterminent le routage du trafic pour un sous-réseau au sein d'un VPC. Elles déterminent quel trafic réseau est acheminé vers Internet ou vers une connexion VPN. Vous trouverez généralement l'accès à :

VPC local
NAT
Passerelles Internet / Passerelles Internet uniquement sortantes (nécessaires pour donner à un VPC l'accès à Internet).
Pour rendre un sous-réseau public, vous devez créer et attacher une passerelle Internet à votre VPC.
Points de terminaison VPC (pour accéder à S3 depuis des réseaux privés)

Dans les images suivantes, vous pouvez vérifier les différences entre un réseau public par défaut et un réseau privé :

ACLs

Network Access Control Lists (ACLs) : Les ACL réseau sont des règles de pare-feu qui contrôlent le trafic réseau entrant et sortant vers un sous-réseau. Elles peuvent être utilisées pour autoriser ou refuser le trafic vers des adresses IP ou des plages spécifiques.

Il est plus fréquent d'autoriser/refuser l'accès en utilisant des groupes de sécurité, mais c'est le seul moyen de couper complètement les shells inversés établis. Une règle modifiée dans un groupe de sécurité n'arrête pas les connexions déjà établies.
Cependant, cela s'applique à l'ensemble du sous-réseau, soyez prudent lorsque vous interdisez des choses car des fonctionnalités nécessaires pourraient être perturbées.

Groupes de Sécurité

Les groupes de sécurité sont un pare-feu virtuel qui contrôle le trafic réseau entrant et sortant vers les instances dans un VPC. Relation 1 SG à M instances (généralement 1 à 1). Cela est généralement utilisé pour ouvrir des ports dangereux dans les instances, comme le port 22 par exemple :

Adresses IP Élastiques

Une adresse IP élastique est une adresse IPv4 statique conçue pour l'informatique en nuage dynamique. Une adresse IP élastique est allouée à votre compte AWS et vous appartient jusqu'à ce que vous la libériez. En utilisant une adresse IP élastique, vous pouvez masquer la défaillance d'une instance ou d'un logiciel en remappant rapidement l'adresse à une autre instance de votre compte.

Connexion entre sous-réseaux

Par défaut, tous les sous-réseaux ont l'attribution automatique des adresses IP publiques désactivée, mais cela peut être activé.

Une route locale dans une table de routage permet la communication entre les sous-réseaux VPC.

Si vous connectez un sous-réseau à un autre sous-réseau, vous ne pouvez pas accéder aux sous-réseaux connectés avec l'autre sous-réseau, vous devez créer une connexion avec eux directement. Cela s'applique également aux passerelles Internet. Vous ne pouvez pas passer par une connexion de sous-réseau pour accéder à Internet, vous devez attribuer la passerelle Internet à votre sous-réseau.

VPC Peering

Le VPC peering vous permet de connecter deux ou plusieurs VPC ensemble, en utilisant IPV4 ou IPV6, comme s'ils faisaient partie du même réseau.

Une fois la connectivité de pair établie, les ressources dans un VPC peuvent accéder aux ressources dans l'autre. La connectivité entre les VPC est mise en œuvre via l'infrastructure réseau AWS existante, elle est donc hautement disponible sans goulot d'étranglement de bande passante. Comme les connexions de pair fonctionnent comme si elles faisaient partie du même réseau, il y a des restrictions concernant les plages de blocs CIDR qui peuvent être utilisées. Si vous avez des plages CIDR qui se chevauchent ou sont en double pour votre VPC, alors vous ne pourrez pas mettre en pair les VPC ensemble. Chaque VPC AWS ne communiquera qu'avec son pair. Par exemple, si vous avez une connexion de pair entre VPC 1 et VPC 2, et une autre connexion entre VPC 2 et VPC 3 comme indiqué, alors VPC 1 et 2 pourraient communiquer directement, tout comme VPC 2 et VPC 3, cependant, VPC 1 et VPC 3 ne pourraient pas. Vous ne pouvez pas router à travers un VPC pour accéder à un autre.

VPC Flow Logs

Dans votre VPC, vous pourriez potentiellement avoir des centaines voire des milliers de ressources communiquant entre différents sous-réseaux, à la fois publics et privés, et également entre différents VPC via des connexions de pair VPC. Les VPC Flow Logs vous permettent de capturer les informations de trafic IP qui circulent entre vos interfaces réseau de vos ressources au sein de votre VPC.

Contrairement aux journaux d'accès S3 et aux journaux d'accès CloudFront, les données de journal générées par les VPC Flow Logs ne sont pas stockées dans S3. Au lieu de cela, les données de journal capturées sont envoyées aux journaux CloudWatch.

Limitations :

Si vous exécutez une connexion de pair VPC, vous ne pourrez voir que les journaux de flux des VPC de pair qui sont dans le même compte.
Si vous exécutez encore des ressources dans l'environnement EC2-Classic, vous ne pourrez malheureusement pas récupérer d'informations de leurs interfaces.
Une fois qu'un VPC Flow Log a été créé, il ne peut pas être modifié. Pour modifier la configuration du VPC Flow Log, vous devez le supprimer puis en recréer un nouveau.
Le trafic suivant n'est pas surveillé et capturé par les journaux. Le trafic DHCP au sein du VPC, le trafic des instances destiné au serveur DNS Amazon.
Tout trafic destiné à l'adresse IP du routeur par défaut du VPC et le trafic vers et depuis les adresses suivantes, 169.254.169.254 qui est utilisé pour recueillir les métadonnées des instances, et 169.254.169.123 qui est utilisé pour le service de synchronisation de l'heure Amazon.
Trafic lié à une licence d'activation Windows Amazon à partir d'une instance Windows.
Trafic entre une interface de chargeur de réseau et une interface de point de terminaison.

Pour chaque interface réseau qui publie des données dans le groupe de journaux CloudWatch, elle utilisera un flux de journaux différent. Et dans chacun de ces flux, il y aura les données d'événements de journaux de flux qui montrent le contenu des entrées de journal. Chacun de ces journaux capture des données pendant une fenêtre d'environ 10 à 15 minutes.

VPN

Composants de base du VPN AWS

Customer Gateway :

Une Customer Gateway est une ressource que vous créez dans AWS pour représenter votre côté d'une connexion VPN.
C'est essentiellement un appareil physique ou une application logicielle de votre côté de la connexion VPN Site-to-Site.
Vous fournissez des informations de routage et l'adresse IP publique de votre appareil réseau (comme un routeur ou un pare-feu) à AWS pour créer une Customer Gateway.
Elle sert de point de référence pour configurer la connexion VPN et n'entraîne pas de frais supplémentaires.

Virtual Private Gateway :

Une Virtual Private Gateway (VPG) est le concentrateur VPN du côté Amazon de la connexion VPN Site-to-Site.
Elle est attachée à votre VPC et sert de cible pour votre connexion VPN.
VPG est le point de terminaison côté AWS pour la connexion VPN.
Elle gère la communication sécurisée entre votre VPC et votre réseau sur site.

Site-to-Site VPN Connection :

Une connexion VPN Site-to-Site connecte votre réseau sur site à un VPC via un tunnel VPN sécurisé IPsec.
Ce type de connexion nécessite une Customer Gateway et une Virtual Private Gateway.
Elle est utilisée pour une communication sécurisée, stable et cohérente entre votre centre de données ou réseau et votre environnement AWS.
Typiquement utilisée pour des connexions régulières et à long terme et est facturée en fonction de la quantité de données transférées sur la connexion.

Client VPN Endpoint :

Un point de terminaison Client VPN est une ressource que vous créez dans AWS pour activer et gérer les sessions VPN client.
Il est utilisé pour permettre à des appareils individuels (comme des ordinateurs portables, des smartphones, etc.) de se connecter en toute sécurité aux ressources AWS ou à votre réseau sur site.
Il diffère du VPN Site-to-Site en ce qu'il est conçu pour des clients individuels plutôt que pour connecter des réseaux entiers.
Avec Client VPN, chaque appareil client utilise un logiciel client VPN pour établir une connexion sécurisée.

Site-to-Site VPN

Connectez votre réseau sur site à votre VPC.

Connexion VPN : Une connexion sécurisée entre votre équipement sur site et vos VPC.
Tunnel VPN : Un lien crypté où les données peuvent passer du réseau client vers ou depuis AWS.

Chaque connexion VPN comprend deux tunnels VPN que vous pouvez utiliser simultanément pour une haute disponibilité.

Customer gateway : Une ressource AWS qui fournit des informations à AWS sur votre appareil de passerelle client.
Appareil de passerelle client : Un appareil physique ou une application logicielle de votre côté de la connexion VPN Site-to-Site.
Virtual private gateway : Le concentrateur VPN du côté Amazon de la connexion VPN Site-to-Site. Vous utilisez une passerelle privée virtuelle ou une passerelle de transit comme passerelle pour le côté Amazon de la connexion VPN Site-to-Site.
Transit gateway : Un hub de transit qui peut être utilisé pour interconnecter vos VPC et réseaux sur site. Vous utilisez une passerelle de transit ou une passerelle privée virtuelle comme passerelle pour le côté Amazon de la connexion VPN Site-to-Site.

Limitations

Le trafic IPv6 n'est pas pris en charge pour les connexions VPN sur une passerelle privée virtuelle.
Une connexion VPN AWS ne prend pas en charge la découverte de MTU de chemin.

De plus, prenez en considération les éléments suivants lorsque vous utilisez Site-to-Site VPN.

Lors de la connexion de vos VPC à un réseau sur site commun, nous vous recommandons d'utiliser des blocs CIDR non chevauchants pour vos réseaux.

Client VPN

Connectez-vous depuis votre machine à votre VPC

Concepts

Client VPN endpoint : La ressource que vous créez et configurez pour activer et gérer les sessions VPN client. C'est la ressource où toutes les sessions VPN client sont terminées.
Réseau cible : Un réseau cible est le réseau que vous associez à un point de terminaison Client VPN. Un sous-réseau d'un VPC est un réseau cible. Associer un sous-réseau à un point de terminaison Client VPN vous permet d'établir des sessions VPN. Vous pouvez associer plusieurs sous-réseaux à un point de terminaison Client VPN pour une haute disponibilité. Tous les sous-réseaux doivent

PreviousAWS - Nitro Enum NextAWS - ECR Enum

Last updated 1 month ago