AWS - VPC & Networking Basic Information

Μάθετε το hacking στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Αν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τα hacking tricks σας υποβάλλοντας PRs στα αποθετήρια HackTricks και HackTricks Cloud στο github.

Δίκτυα στο AWS σε λίγα λόγια

Ένα VPC περιέχει ένα δίκτυο CIDR όπως το 10.0.0.0/16 (με τον πίνακα δρομολόγησης και τον έλεγχο πρόσβασης στο δίκτυο).

Αυτό το δίκτυο VPC είναι χωρισμένο σε υποδίκτυα, οπότε ένα υποδίκτυο συνδέεται απευθείας με το VPC, τον πίνακα δρομολόγησης και τον έλεγχο πρόσβασης στο δίκτυο.

Στη συνέχεια, οι διεπαφές δικτύου που είναι συνδεδεμένες με υπηρεσίες (όπως οι EC2 instances) συνδέονται με τα υποδίκτυα με τη χρήση ομάδων ασφαλείας.

Έτσι, μια ομάδα ασφαλείας θα περιορίσει τις ανοιχτές θύρες των δικτύων διεπαφών που τη χρησιμοποιούν, ανεξάρτητα από το υποδίκτυο. Και ένας έλεγχος πρόσβασης στο δίκτυο θα περιορίσει τις ανοιχτές θύρες σε ολόκληρο το δίκτυο.

Επιπλέον, για να έχετε πρόσβαση στο Διαδίκτυο, υπάρχουν μερικές ενδιαφέρουσες ρυθμίσεις που πρέπει να ελεγχθούν:

Ένα υποδίκτυο μπορεί να αναθέτει αυτόματα διευθύνσεις IPv4 στο κοινό
Ένα instance που δημιουργείται στο δίκτυο που αναθέτει αυτόματα διευθύνσεις IPv4 μπορεί να λάβει μία
Ένα Internet gateway πρέπει να είναι συνδεδεμένο με το VPC
Μπορείτε επίσης να χρησιμοποιήσετε Egress-only internet gateways
Μπορείτε επίσης να έχετε ένα NAT gateway σε ένα ιδιωτικό υποδίκτυο, έτσι ώστε να είναι δυνατή η σύνδεση με εξωτερικές υπηρεσίες από αυτό το ιδιωτικό υποδίκτυο, αλλά δεν είναι δυνατή η πρόσβαση σε αυτές από το εξωτερικό.
Το NAT gateway μπορεί να είναι δημόσιο (πρόσβαση στο Διαδίκτυο) ή ιδιωτικό (πρόσβαση σε άλλα VPC)

VPC

Το Virtual Private Cloud (VPC) της Amazon σας επιτρέπει να ξεκινήσετε πόρους AWS σε ένα εικονικό δίκτυο που έχετε καθορίσει. Αυτό το εικονικό δίκτυο θα έχει αρκετά υποδίκτυα, Internet Gateways για πρόσβαση στο Διαδίκτυο, ACLs, Ομάδες ασφαλείας, IP...

Υποδίκτυα

Τα υποδίκτυα βοηθούν στην επιβολή ενός υψηλότερου επιπέδου ασφάλειας. Η λογική ομαδοποίηση παρόμοιων πόρων σας βοηθά επίσης να διατηρήσετε μια ευκολία διαχείρισης σε όλη την υποδομ

Ομάδες Ασφαλείας

Οι ομάδες ασφαλείας είναι ένα εικονικό τείχος προστασίας που ελέγχει την εισερχόμενη και εξερχόμενη κίνηση δικτύου προς τις περιπτώσεις σε ένα VPC. Συνήθως χρησιμοποιείται για να ανοίξει επικίνδυνες θύρες στις περιπτώσεις, όπως για παράδειγμα η θύρα 22:

Ελαστικές Διευθύνσεις IP

Μια ελαστική διεύθυνση IP είναι μια στατική IPv4 διεύθυνση που σχεδιάστηκε για δυναμικό υπολογισμό στο cloud. Μια ελαστική διεύθυνση IP εκχωρείται στον λογαριασμό AWS σας και είναι δική σας μέχρι να την απελευθερώσετε. Χρησιμοποιώντας μια ελαστική διεύθυνση IP, μπορείτε να αποκρύψετε την αποτυχία μιας περίπτωσης ή λογισμικού ανακατευθύνοντας γρήγορα τη διεύθυνση σε μια άλλη περίπτωση στον λογαριασμό σας.

Σύνδεση μεταξύ υποδικτύων

Από προεπιλογή, όλα τα υποδίκτυα έχουν την αυτόματη ανάθεση δημόσιων διευθύνσεων IP απενεργοποιημένη, αλλά μπορεί να ενεργοποιηθεί.

Ένας τοπικός δρομολογητής εντός ενός πίνακα δρομολόγησης επιτρέπει την επικοινωνία μεταξύ των υποδικτύων VPC.

Εάν συνδέετε ένα υποδίκτυο με ένα διαφορετικό υποδίκτυο, δεν μπορείτε να έχετε πρόσβαση στα υποδίκτυα που συνδέονται με το άλλο υποδίκτυο, πρέπει να δημιουργήσετε σύνδεση με αυτά απευθείας. Αυτό ισχύει επίσης για τις πύλες διαδικτύου. Δεν μπορείτε να περάσετε μέσω μιας σύνδεσης υποδικτύου για να έχετε πρόσβαση στο διαδίκτυο, πρέπει να αναθέσετε την πύλη διαδικτύου στο υποδίκτυό σας.

Σύνδεση VPC

Η σύνδεση VPC σας επιτρέπει να συνδέσετε δύο ή περισσότερες VPC μαζί, χρησιμοποιώντας IPV4 ή IPV6, ως να ήταν μέρος του ίδιου δικτύου.

Μόλις η συνδεσιμότητα των ζευγαριών επιτευχθεί, οι πόροι σε μια VPC μπορούν να έχουν πρόσβαση σε πόρους στην άλλη. Η συνδεσιμότητα μεταξύ των VPC υλοποιείται μέσω της υπάρχουσας υποδομής δικτύου AWS και είναι υψηλά διαθέσιμη χωρίς περιορισμούς όσον αφορά τις εύρος ζώνης. Καθώς οι συνδέσεις μεταξύ των VPC λειτουργούν ως μέρος του ίδιου δικτύου, υπάρχουν περιορισμοί όσον αφορά τις εύρος ζώνης CIDR που μπορούν να χρησιμοποιηθούν. Εάν έχετε επικαλυπτόμενες ή διπλές εύρος ζώνης CIDR για τη VPC σας, τότε δεν θα μπορείτε να συνδέσετε τις VPC μαζί. Κάθε AWS VPC θα επικοινωνεί μόνο με τον ζευγαρωμένο της. Για παράδειγμα, εάν έχετε μια σύνδεση ζευγαρώματος μεταξύ της VPC 1 και της VPC 2, και μια άλλη σύνδεση μεταξύ της VPC 2 και της VPC 3, τότε η VPC 1 και η VPC 2 μπορούν να επικοινωνούν μεταξύ τους απευθείας, όπως και η VPC 2 και η VPC 3, ωστόσο η V

Περιορισμοί

Ο κίνητρος IPv6 δεν υποστηρίζεται για συνδέσεις VPN σε εικονική ιδιωτική πύλη.
Μια σύνδεση VPN AWS δεν υποστηρίζει την ανακάλυψη του μεγέθους μονάδας μεταφοράς (Path MTU Discovery).

Επιπλέον, λάβετε υπόψη τα εξής όταν χρησιμοποιείτε το Site-to-Site VPN.

Όταν συνδέετε τις VPC σας σε ένα κοινό δίκτυο εκτός του AWS, συνιστούμε να χρησιμοποιείτε μη επικαλυπτόμενα CIDR blocks για τα δίκτυά σας.

Πελατικό VPN

Συνδεθείτε από τον υπολογιστή σας στη VPC σας

Έννοιες

Σημείο πρόσβασης πελατικού VPN: Ο πόρος που δημιουργείτε και διαμορφώνετε για να ενεργοποιήσετε και να διαχειριστείτε τις συνεδρίες πελατικού VPN. Είναι ο πόρος όπου τερματίζονται όλες οι συνεδρίες πελατικού VPN.
Στόχευση δικτύου: Ένα στόχευση δίκτυο είναι το δίκτυο που συσχετίζετε με ένα σημείο πρόσβασης πελατικού VPN. Ένα subnet από μια VPC είναι ένα στόχευση δίκτυο. Η συσχέτιση ενός subnet με ένα σημείο πρόσβασης πελατικού VPN σας επιτρέπει να δημιουργήσετε συνεδρίες VPN. Μπορείτε να συσχετίσετε πολλαπλά subnets με ένα σημείο πρόσβασης πελατικού VPN για υψηλή διαθεσιμότητα. Όλα τα subnets πρέπει να ανήκουν στην ίδια VPC. Κάθε subnet πρέπει να ανήκει σε μια διαφορετική ζώνη διαθεσιμότητας.
Διαδρομή: Κάθε σημείο πρόσβασης πελατικού VPN έχει μια πίνακα δρομολόγησης που περιγράφει τις διαθέσιμες διαδρομές δικτύου προορισμού. Κάθε διαδρομή στον πίνακα δρομολόγησης καθορίζει τη διαδρομή για την κίνηση προς συγκεκριμένους πόρους ή δίκτυα.
Κανόνες εξουσιοδότησης: Ένας κανόνας εξουσιοδότησης περιορίζει τους χρήστες που μπορούν να έχουν πρόσβαση σε ένα δίκτυο. Για ένα συγκεκριμένο δίκτυο, διαμορφώνετε την ομάδα Active Directory ή τον πάροχο ταυτότητας (IdP) που επιτρέπεται η πρόσβαση. Μόνο οι χρήστες που ανήκουν σε αυτήν την ομάδα μπορούν να έχουν πρόσβαση στο συγκεκριμένο δίκτυο. Αρχικά, δεν υπάρχουν κανόνες εξουσιοδότησης και πρέπει να διαμορφώσετε κανόνες εξουσιοδότησης για να επιτρέψετε στους χρήστες να έχουν πρόσβαση σε πόρους και δίκτυα.
Πελάτης: Ο τελικός χρήστης που συνδέεται στο σημείο πρόσβασης πελατικού VPN για να δημιουργήσει μια συνεδρία VPN. Οι τελικοί χρήστες πρέπει να κατεβάσουν έναν πελατικό πελάτη OpenVPN και να χρησιμοποιήσουν το αρχείο διαμόρφωσης πελατικού VPN που δημιουργήσατε για να δημιουργήσουν μια συνεδρία VPN.
Εύρος CIDR πελάτη: Ένα εύρος διευθύνσεων IP από το οποίο να ανατεθούν διευθύνσεις IP πελατών. Κάθε σύνδεση στο σημείο πρόσβασης πελατικού VPN ανατίθεται μια μοναδική διεύθυνση IP από το εύρος CIDR πελάτη. Επιλέγετε το εύρος CIDR πελάτη, για παράδειγμα, 10.2.0.0/16.
Θύρες πελατικού VPN: Το AWS Client VPN υποστηρίζει τις θύρες 443 και 1194 για TCP και UDP. Η προεπιλογή είναι η θύρα 443.
Διεπαφές δικτύου πελατικού VPN: Όταν συσχετίζετε ένα subnet με το σημείο πρόσβασης πελατικού VPN σας, δημιουργούμε διεπαφές δικτύου πελατικού VPN σε αυτό το subnet. Η κίνηση που αποστέλλεται στη VPC από το σημείο πρόσβασης πελατικού VPN αποστέλλεται μέσω μιας διεπαφής δικτύου πελατικού VPN. Στη συνέχεια, εφαρμόζεται η μετάφραση διεύθυνσης IP του πηγαίου δικτύου (SNAT), όπου η διεύθυνση IP πηγής από το εύρος CIDR πελάτη μεταφράζεται στη διεύθυνση IP της διεπα

PreviousAWS - Nitro Enum NextAWS - ECR Enum

Last updated 3 months ago