GCP - VPC & Networking

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!

Autres façons de soutenir HackTricks :

Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT !
Obtenez le swag officiel PEASS & HackTricks
Découvrez La famille PEASS, notre collection exclusive de NFT
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.

Réseau de calcul GCP en un coup d'œil

Les VPC contiennent des règles de pare-feu pour permettre le trafic entrant dans le VPC. Les VPC contiennent également des sous-réseaux où les machines virtuelles vont être connectées. En comparaison avec AWS, le pare-feu serait la chose la plus proche des groupes de sécurité AWS et des NACL, mais dans ce cas, ils sont définis dans le VPC et non dans chaque instance.

VPC, Sous-réseaux & Pare-feu dans GCP

Les instances de calcul sont connectées à des sous-réseaux qui font partie des VPC (Cloud privé virtuel). Dans GCP, il n'y a pas de groupes de sécurité, il y a des pare-feu VPC avec des règles définies à ce niveau de réseau mais appliquées à chaque instance de VM.

Sous-réseaux

Un VPC peut avoir plusieurs sous-réseaux. Chaque sous-réseau est dans 1 région.

Pare-feu

Par défaut, chaque réseau a deux règles de pare-feu implicites : autoriser les sorties et refuser les entrées.

Lorsqu'un projet GCP est créé, un VPC appelé default est également créé, avec les règles de pare-feu suivantes :

default-allow-internal : autoriser tout le trafic depuis d'autres instances sur le réseau default
default-allow-ssh : autoriser le port 22 depuis n'importe où
default-allow-rdp : autoriser le port 3389 depuis n'importe où
default-allow-icmp : autoriser le ping depuis n'importe où

Comme vous pouvez le voir, les règles de pare-feu ont tendance à être plus permissives pour les adresses IP internes. Le VPC par défaut autorise tout le trafic entre les instances de calcul.

D'autres règles de pare-feu peuvent être créées pour le VPC par défaut ou pour de nouveaux VPC. Les règles de pare-feu peuvent être appliquées aux instances via les méthodes suivantes :

Balises réseau
Comptes de service
Toutes les instances dans un VPC

Malheureusement, il n'existe pas de commande gcloud simple pour afficher toutes les instances de calcul avec des ports ouverts sur Internet. Vous devez faire le lien entre les règles de pare-feu, les balises réseau, les comptes de service et les instances.

Ce processus a été automatisé en utilisant ce script python qui exportera ce qui suit :

Fichier CSV montrant l'instance, l'IP publique, les ports TCP autorisés, les ports UDP autorisés
Analyse nmap pour cibler toutes les instances sur les ports d'entrée autorisés depuis Internet public (0.0.0.0/0)
Masscan pour cibler la plage TCP complète de ces instances qui autorisent TOUS les ports TCP depuis Internet public (0.0.0.0/0)

Politiques de pare-feu hiérarchiques

Les politiques de pare-feu hiérarchiques vous permettent de créer et d'appliquer une politique de pare-feu cohérente dans toute votre organisation. Vous pouvez attribuer des politiques de pare-feu hiérarchiques à l'organisation dans son ensemble ou à des dossiers individuels. Ces politiques contiennent des règles qui peuvent explicitement refuser ou autoriser des connexions.

Vous créez et appliquez des politiques de pare-feu en deux étapes distinctes. Vous pouvez créer et appliquer des politiques de pare-feu au niveau des nœuds d'organisation ou de dossier de la hiérarchie des ressources. Une règle de politique de pare-feu peut bloquer des connexions, autoriser des connexions ou différer l'évaluation de la règle de pare-feu aux règles de pare-feu de VPC définies dans les réseaux VPC.

Par défaut, toutes les règles de politique de pare-feu hiérarchique s'appliquent à toutes les VM dans tous les projets sous l'organisation ou le dossier où la politique est associée. Cependant, vous pouvez restreindre les VM qui obtiennent une règle donnée en spécifiant des réseaux cibles ou des comptes de service cibles.

Vous pouvez lire ici comment créer une politique de pare-feu hiérarchique.

Évaluation des règles de pare-feu

Org : Politiques de pare-feu attribuées à l'organisation
Dossier : Politiques de pare-feu attribuées au dossier
VPC : Règles de pare-feu attribuées au VPC
Global : Autre type de règles de pare-feu pouvant être attribuées aux VPC
Régional : Règles de pare-feu associées au réseau VPC de la carte NIC de la VM et à la région de la VM.

Interconnexion de réseaux VPC

Permet de connecter deux réseaux de Cloud privé virtuel (VPC) afin que les ressources de chaque réseau puissent communiquer entre elles. Les réseaux VPC interconnectés peuvent être dans le même projet, dans des projets différents de la même organisation, ou dans des projets différents de différentes organisations.

Voici les autorisations nécessaires :

compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes

Plus dans la documentation.

Références

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!

Autres façons de soutenir HackTricks :

Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT !
Obtenez le swag officiel PEASS & HackTricks
Découvrez La famille PEASS, notre collection exclusive de NFT
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.

PrécédentGCP - Compute Instances SuivantGCP - Containers, GKE & Composer Enum

Dernière mise à jour il y a 2 jours