AWS - VPC & Networking Basic Information

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

AWS Networking in a Nutshell

एक VPC में एक नेटवर्क CIDR होता है जैसे 10.0.0.0/16 (इसके रूटिंग टेबल और नेटवर्क ACL के साथ)।

यह VPC नेटवर्क सबनेटवर्क्स में विभाजित होता है, इसलिए एक सबनेटवर्क सीधे VPC, रूटिंग टेबल और नेटवर्क ACL से संबंधित होता है।

फिर, सेवाओं से जुड़े नेटवर्क इंटरफेस (जैसे EC2 इंस्टेंस) सबनेटवर्क्स से सुरक्षा समूहों के साथ जुड़े होते हैं।

इसलिए, एक सुरक्षा समूह नेटवर्क इंटरफेस का उपयोग करते हुए खुले पोर्ट को सीमित करेगा, सबनेटवर्क से स्वतंत्र। और एक नेटवर्क ACL पूरे नेटवर्क के लिए खुले पोर्ट को सीमित करेगा।

इसके अलावा, इंटरनेट तक पहुंचने के लिए, कुछ दिलचस्प कॉन्फ़िगरेशन की जांच करनी होती है:

एक सबनेटवर्क सार्वजनिक IPv4 पते स्वचालित रूप से असाइन कर सकता है
एक इंस्टेंस जो नेटवर्क में बनाया गया है जो IPv4 पते स्वचालित रूप से असाइन करता है, एक प्राप्त कर सकता है
एक इंटरनेट गेटवे को VPC से जुड़ा होना चाहिए
आप केवल-ईग्रेस इंटरनेट गेटवे का भी उपयोग कर सकते हैं
आप एक नैट गेटवे को एक निजी सबनेट में भी रख सकते हैं ताकि उस निजी सबनेट से बाहरी सेवाओं से कनेक्ट करना संभव हो, लेकिन बाहर से उन तक पहुंचना संभव नहीं है।
नैट गेटवे सार्वजनिक (इंटरनेट तक पहुंच) या निजी (अन्य VPCs तक पहुंच) हो सकता है

VPC

Amazon Virtual Private Cloud (Amazon VPC) आपको एक वर्चुअल नेटवर्क में AWS संसाधनों को लॉन्च करने की अनुमति देता है जिसे आपने परिभाषित किया है। इस वर्चुअल नेटवर्क में कई सबनेट्स, इंटरनेट गेटवे, ACLs, सुरक्षा समूह, IPs होंगे...

Subnets

सबनेट्स एक उच्च स्तर की सुरक्षा लागू करने में मदद करते हैं। समान संसाधनों का तार्किक समूह भी आपके बुनियादी ढांचे में प्रबंधन में आसानी बनाए रखने में मदद करता है।

वैध CIDR /16 नेटमास्क से /28 नेटमास्क तक होते हैं।
एक सबनेट एक ही समय में विभिन्न उपलब्धता क्षेत्रों में नहीं हो सकता।
AWS प्रत्येक सबनेट के पहले तीन होस्ट IP पतों को आंतरिक AWS उपयोग के लिए आरक्षित करता है: पहला होस्ट पता VPC राउटर के लिए उपयोग किया जाता है। दूसरा पता AWS DNS के लिए आरक्षित है और तीसरा पता भविष्य के उपयोग के लिए आरक्षित है।
सार्वजनिक सबनेट उन्हें कहा जाता है जिनके पास इंटरनेट तक सीधी पहुंच होती है, जबकि निजी सबनेट नहीं होती।

Route Tables

रूट टेबल्स एक VPC के भीतर एक सबनेट के लिए ट्रैफिक रूटिंग निर्धारित करती हैं। वे निर्धारित करती हैं कि कौन सा नेटवर्क ट्रैफिक इंटरनेट या VPN कनेक्शन की ओर अग्रेषित किया जाएगा। आप आमतौर पर निम्नलिखित तक पहुंच पाएंगे:

स्थानीय VPC
NAT
इंटरनेट गेटवे / केवल-ईग्रेस इंटरनेट गेटवे (VPC को इंटरनेट तक पहुंच देने के लिए आवश्यक)।
एक सबनेट को सार्वजनिक बनाने के लिए आपको अपने VPC से एक इंटरनेट गेटवे बनाना और जोड़ना होगा।
VPC एंडपॉइंट्स (निजी नेटवर्क से S3 तक पहुंचने के लिए)

निम्नलिखित छवियों में आप एक डिफ़ॉल्ट सार्वजनिक नेटवर्क और एक निजी नेटवर्क में अंतर देख सकते हैं:

ACLs

नेटवर्क एक्सेस कंट्रोल लिस्ट्स (ACLs): नेटवर्क ACLs फायरवॉल नियम हैं जो एक सबनेट के लिए आने वाले और जाने वाले नेटवर्क ट्रैफिक को नियंत्रित करते हैं। इन्हें विशिष्ट IP पतों या रेंजों के लिए ट्रैफिक की अनुमति देने या अस्वीकार करने के लिए उपयोग किया जा सकता है।

सुरक्षा समूहों का उपयोग करके पहुंच की अनुमति/अस्वीकृति सबसे अधिक सामान्य है, लेकिन यह पहले से स्थापित रिवर्स शेल्स को पूरी तरह से काटने का एकमात्र तरीका है। सुरक्षा समूहों में संशोधित नियम पहले से स्थापित कनेक्शनों को नहीं रोकते
हालांकि, यह पूरे सबनेटवर्क पर लागू होता है, इसलिए जब कुछ को प्रतिबंधित करते समय सावधान रहें क्योंकि आवश्यक कार्यक्षमता बाधित हो सकती है

Security Groups

सुरक्षा समूह एक वर्चुअल फायरवॉल हैं जो VPC में इंस्टेंस के लिए इनबाउंड और आउटबाउंड नेटवर्क ट्रैफिक को नियंत्रित करते हैं। 1 SG से M इंस्टेंस (आमतौर पर 1 से 1) का संबंध। आमतौर पर इसका उपयोग इंस्टेंस में खतरनाक पोर्ट खोलने के लिए किया जाता है, जैसे कि पोर्ट 22 उदाहरण के लिए:

Elastic IP Addresses

एक Elastic IP address एक स्थिर IPv4 पता है जिसे गतिशील क्लाउड कंप्यूटिंग के लिए डिज़ाइन किया गया है। एक Elastic IP address आपके AWS खाते को आवंटित किया जाता है, और यह तब तक आपका होता है जब तक आप इसे रिलीज़ नहीं करते। एक Elastic IP address का उपयोग करके, आप एक इंस्टेंस या सॉफ़्टवेयर की विफलता को मास्क कर सकते हैं, पते को तेजी से अपने खाते में किसी अन्य इंस्टेंस पर पुनः मैप करके।

Connection between subnets

डिफ़ॉल्ट रूप से, सभी सबनेट्स में सार्वजनिक IP पतों का स्वचालित असाइनमेंट बंद होता है लेकिन इसे चालू किया जा सकता है।

एक रूट टेबल के भीतर एक स्थानीय रूट VPC सबनेट्स के बीच संचार को सक्षम करता है।

यदि आप एक सबनेट को एक अलग सबनेट से कनेक्ट कर रहे हैं तो आप उन सबनेट्स तक नहीं पहुंच सकते जो दूसरे सबनेट से जुड़े हैं, आपको सीधे उनके साथ कनेक्शन बनाना होगा। यह इंटरनेट गेटवे पर भी लागू होता है। आप इंटरनेट तक पहुंचने के लिए एक सबनेट कनेक्शन के माध्यम से नहीं जा सकते, आपको अपने सबनेट को इंटरनेट गेटवे असाइन करना होगा।

VPC Peering

VPC peering आपको दो या अधिक VPCs को एक साथ कनेक्ट करने की अनुमति देता है, IPV4 या IPV6 का उपयोग करके, जैसे कि वे एक ही नेटवर्क का हिस्सा हों।

एक बार जब पीयर कनेक्टिविटी स्थापित हो जाती है, एक VPC में संसाधन दूसरे में संसाधनों तक पहुंच सकते हैं। VPCs के बीच कनेक्टिविटी मौजूदा AWS नेटवर्क बुनियादी ढांचे के माध्यम से लागू की जाती है, और इसलिए यह उच्च उपलब्धता के साथ होती है और कोई बैंडविड्थ बाधा नहीं होती। पीयर कनेक्शनों को एक ही नेटवर्क का हिस्सा मानते हुए, आपके CIDR ब्लॉक रेंज के उपयोग के संबंध में प्रतिबंध होते हैं। यदि आपके पास ओवरलैपिंग या डुप्लिकेट CIDR रेंज हैं तो आप VPCs को एक साथ पीयर नहीं कर पाएंगे। प्रत्येक AWS VPC केवल अपने पीयर के साथ संचार करेगा। उदाहरण के लिए, यदि आपके पास VPC 1 और VPC 2 के बीच एक पीयरिंग कनेक्शन है, और VPC 2 और VPC 3 के बीच एक और कनेक्शन है, जैसा कि दिखाया गया है, तो VPC 1 और 2 एक दूसरे के साथ सीधे संचार कर सकते हैं, जैसे कि VPC 2 और VPC 3, हालांकि, VPC 1 और VPC 3 नहीं कर सकते। आप एक VPC के माध्यम से दूसरे तक पहुंचने के लिए रूट नहीं कर सकते।

VPC Flow Logs

आपके VPC के भीतर, आपके पास सैकड़ों या यहां तक कि हजारों संसाधन हो सकते हैं जो विभिन्न सार्वजनिक और निजी सबनेट्स के बीच और VPC पीयरिंग कनेक्शनों के माध्यम से विभिन्न VPCs के बीच संचार कर रहे हैं। VPC Flow Logs आपको अपने VPC के भीतर आपके संसाधनों के नेटवर्क इंटरफेस के बीच प्रवाहित होने वाले IP ट्रैफिक की जानकारी को कैप्चर करने की अनुमति देते हैं।

S3 एक्सेस लॉग और CloudFront एक्सेस लॉग के विपरीत, VPC Flow Logs द्वारा उत्पन्न लॉग डेटा S3 में संग्रहीत नहीं होता है। इसके बजाय, कैप्चर किया गया लॉग डेटा CloudWatch लॉग्स को भेजा जाता है।

सीमाएँ:

यदि आप एक VPC पीयर कनेक्शन चला रहे हैं, तो आप केवल उन्हीं पीयर VPCs के फ्लो लॉग देख पाएंगे जो एक ही खाते में हैं।
यदि आप अभी भी EC2-Classic वातावरण के भीतर संसाधन चला रहे हैं, तो दुर्भाग्य से आप उनके इंटरफेस से जानकारी प्राप्त नहीं कर सकते
एक बार जब एक VPC Flow Log बनाया गया है, तो इसे बदला नहीं जा सकता। VPC Flow Log कॉन्फ़िगरेशन को बदलने के लिए, आपको इसे हटाना होगा और फिर एक नया बनाना होगा।
निम्नलिखित ट्रैफिक लॉग्स द्वारा मॉनिटर और कैप्चर नहीं किया जाता है। VPC के भीतर DHCP ट्रैफिक, अमेज़न DNS सर्वर के लिए इंस्टेंस से ट्रैफिक।
VPC डिफ़ॉल्ट राउटर के लिए IP पते और निम्नलिखित पतों से और के लिए ट्रैफिक, 169.254.169.254 जो इंस्टेंस मेटाडेटा एकत्र करने के लिए उपयोग किया जाता है, और 169.254.169.123 जो अमेज़न टाइम सिंक सेवा के लिए उपयोग किया जाता है।
एक विंडोज इंस्टेंस से एक अमेज़न विंडोज सक्रियण लाइसेंस से संबंधित ट्रैफिक
एक नेटवर्क लोड बैलेंसर इंटरफेस और एक एंडपॉइंट नेटवर्क इंटरफेस के बीच ट्रैफिक

प्रत्येक नेटवर्क इंटरफेस के लिए जो CloudWatch लॉग समूह को डेटा प्रकाशित करता है, यह एक अलग लॉग स्ट्रीम का उपयोग करेगा। और इन स्ट्रीम्स में, फ्लो लॉग इवेंट डेटा होगा जो लॉग प्रविष्टियों की सामग्री को दिखाता है। इनमें से प्रत्येक लॉग लगभग 10 से 15 मिनट की विंडो के दौरान डेटा कैप्चर करता है।

VPN

Basic AWS VPN Components

Customer Gateway:

एक Customer Gateway एक संसाधन है जिसे आप AWS में एक VPN कनेक्शन के अपने पक्ष का प्रतिनिधित्व करने के लिए बनाते हैं।
यह मूल रूप से आपके साइट-टू-साइट VPN कनेक्शन के आपके पक्ष पर एक भौतिक डिवाइस या सॉफ़्टवेयर एप्लिकेशन है।
आप AWS को Customer Gateway बनाने के लिए अपने नेटवर्क डिवाइस (जैसे राउटर या फ़ायरवॉल) के सार्वजनिक IP पते और रूटिंग जानकारी प्रदान करते हैं।
यह VPN कनेक्शन सेट करने के लिए एक संदर्भ बिंदु के रूप में कार्य करता है और अतिरिक्त शुल्क नहीं लगता।

Virtual Private Gateway:

एक Virtual Private Gateway (VPG) साइट-टू-साइट VPN कनेक्शन के अमेज़न पक्ष पर VPN कंसंट्रेटर है।
यह आपके VPC से जुड़ा होता है और आपके VPN कनेक्शन के लिए लक्ष्य के रूप में कार्य करता है।
VPG साइट-टू-साइट VPN कनेक्शन के लिए AWS पक्ष का एंडपॉइंट है।
यह आपके VPC और आपके ऑन-प्रिमाइसेस नेटवर्क के बीच सुरक्षित संचार को संभालता है।

Site-to-Site VPN Connection:

एक साइट-टू-साइट VPN कनेक्शन आपके ऑन-प्रिमाइसेस नेटवर्क को एक सुरक्षित, IPsec VPN टनल के माध्यम से एक VPC से जोड़ता है।
इस प्रकार के कनेक्शन के लिए एक Customer Gateway और एक Virtual Private Gateway की आवश्यकता होती है।
यह आपके डेटा सेंटर या नेटवर्क और आपके AWS वातावरण के बीच सुरक्षित, स्थिर और सुसंगत संचार के लिए उपयोग किया जाता है।
आमतौर पर नियमित, दीर्घकालिक कनेक्शनों के लिए उपयोग किया जाता है और कनेक्शन पर स्थानांतरित किए गए डेटा की मात्रा के आधार पर बिल किया जाता है।

Client VPN Endpoint:

एक Client VPN endpoint एक संसाधन है जिसे आप AWS में क्लाइंट VPN सत्रों को सक्षम और प्रबंधित करने के लिए बनाते हैं।
यह व्यक्तिगत उपकरणों (जैसे लैपटॉप, स्मार्टफोन, आदि) को AWS संसाधनों या आपके ऑन-प्रिमाइसेस नेटवर्क से सुरक्षित रूप से कनेक्ट करने की अनुमति देने के लिए उपयोग किया जाता है।
यह साइट-टू-साइट VPN से भिन्न है क्योंकि यह संपूर्ण नेटवर्क को जोड़ने के बजाय व्यक्तिगत क्लाइंट्स के लिए डिज़ाइन किया गया है।
Client VPN के साथ, प्रत्येक क्लाइंट डिवाइस एक VPN क्लाइंट सॉफ़्टवेयर का उपयोग करके एक सुरक्षित कनेक्शन स्थापित करता है।

Site-to-Site VPN

अपने ऑन-प्रिमाइसेस नेटवर्क को अपने VPC से कनेक्ट करें।

VPN कनेक्शन: आपके ऑन-प्रिमाइसेस उपकरण और आपके VPCs के बीच एक सुरक्षित कनेक्शन।

PreviousAWS - Nitro Enum NextAWS - ECR Enum

Last updated 1 month ago