Az - Azure Network

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सब्सक्रिप्शन प्लान्स देखें!
आधिकारिक PEASS और HackTricks स्वैग प्राप्त करें
हमारे विशेष NFTs कलेक्शन, The PEASS Family की खोज करें
शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या हमें ट्विटर 🐦 @hacktricks_live** पर फॉलो** करें।
हैकिंग ट्रिक्स साझा करें, HackTricks और HackTricks Cloud github repos में PRs सबमिट करके।

मूल जानकारी

Azure के नेटवर्क उसके क्लाउड कंप्यूटिंग प्लेटफ़ॉर्म का एक महत्वपूर्ण हिस्सा के रूप में काम करते हैं, विभिन्न Azure सेवाओं और संसाधनों के कनेक्शन और संचार को संभालते हैं। Azure में नेटवर्क आर्किटेक्चर को उच्च स्केलेबल, सुरक्षित और अनुकूलित बनाया गया है।

आधार में, Azure एक वर्चुअल नेटवर्क (VNet) प्रदान करता है जो उपयोगकर्ताओं को Azure क्लाउड के भीतर विभाजित नेटवर्क बनाने की अनुमति देता है। इन VNets के भीतर, संसाधन जैसे वर्चुअल मशीन, एप्लिकेशन, और डेटाबेस सुरक्षित रूप से होस्ट और प्रबंधित किए जा सकते हैं। Azure में नेटवर्किंग कम्युनिकेशन का समर्थन करती है (Azure सेवाओं के बीच) और बाहरी नेटवर्क और इंटरनेट से कनेक्शन।

सुरक्षा Azure नेटवर्किंग का एक महत्वपूर्ण पहलू है, जिसमें डेटा की सुरक्षा, एक्सेस प्रबंधन, और अनुपालन सुनिश्चित करने के लिए विभिन्न उपकरण और सेवाएं उपलब्ध हैं। ये सुरक्षा उपाय फ़ायरवॉल, नेटवर्क सुरक्षा समूह, और एन्क्रिप्शन क्षमताएँ शामिल हैं, जो ट्रैफ़िक और एक्सेस पर नियंत्रण की उच्च स्तर की अनुमति देते हैं।

सम्ग्र, Azure की नेटवर्किंग क्षमताएँ लचीलाई प्रदान करने के लिए डिज़ाइन की गई हैं, जो उपयोगकर्ताओं को उनकी विशेष एप्लिकेशन और वर्कलोड आवश्यकताओं के अनुसार एक नेटवर्क वातावरण बनाने की अनुमति देती है, साथ ही सुरक्षा और विश्वसनीयता पर मजबूत जोर रखती है।

वर्चुअल नेटवर्क (VNET) और सबनेट्स

Azure में एक VNet मुख्य रूप से आपके सब्सक्रिप्शन के लिए एक व्यक्तिगत नेटवर्क का प्रतिनिधित्व करता है। यह आपको Azure में वर्चुअल प्राइवेट नेटवर्क (VPNs) प्रोविजन और प्रबंधित करने की अनुमति देता है और विभिन्न प्रकार के Azure संसाधनों जैसे वर्चुअल मशीन (VMs), डेटाबेस, और एप्लिकेशन सेवाओं को होस्ट और प्रबंधित करने के लिए उपयोग किया जा सकता है।

VNets आपको अपने नेटवर्क सेटिंग्स पर पूरा नियंत्रण प्रदान करते हैं, जिसमें IP पता श्रेणियाँ, सबनेट निर्माण, रूट टेबल, और नेटवर्क गेटवे शामिल हैं।

एक सबनेट आपके VNet में IP पतों की एक श्रेणी है। आप विभाजित करने और सुरक्षा के लिए एक VNet को कई सबनेट में विभाजित कर सकते हैं। एक VNet में प्रत्येक सबनेट का उपयोग आपके नेटवर्क और एप्लिकेशन आर्किटेक्चर के अनुसार संसाधनों को विभाजित और समूहित करने के लिए किया जा सकता है।

इसके अतिरिक्त, सबनेट्स आपको अपने VNet को एक या एक से अधिक सब-नेटवर्क में विभाजित करने की अनुमति देते हैं, जिससे संसाधनों को उपयोग करने के लिए IP पतों की एक श्रेणी मिलती है।

उदाहरण

मान लीजिए आपके पास एक VNet है जिसका नाम MyVNet है और इसका IP पता श्रेणी 10.0.0.0/16 है। इस VNet के भीतर एक सबनेट बना सकते हैं, चलिए कहें Subnet-1, जिसका IP पता श्रेणी 10.0.0.0/24 है जिसे आप अपने वेब सर्वर्स के होस्टिंग के लिए उपयोग कर सकते हैं। एक और सबनेट, Subnet-2 जिसका रेंज 10.0.1.0/24 है, आप अपने डेटाबेस सर्वर्स के लिए उपयोग कर सकते हैं। यह विभाजन नेटवर्क के भीतर दक्ष प्रबंधन और सुरक्षा नियंत्रण के लिए अनुकूल है।

गणना

एक Azure खाते में सभी VNets और सबनेट्स को सूचीबद्ध करने के लिए, आप Azure कमांड-लाइन इंटरफेस (CLI) का उपयोग कर सकते हैं। यहाँ कदम हैं:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

नेटवर्क सुरक्षा समूह (NSG)

Azure में, नेटवर्क सुरक्षा समूह (NSG) एक मुख्य कार्य का निर्वाहक है जो एक Azure वर्चुअल नेटवर्क (VNet) के भीतर Azure संसाधनों के लिए नेटवर्क ट्रैफिक को फ़िल्टर करने की सेवा प्रदान करता है। इसमें नेटवर्क ट्रैफिक के प्रवाह को विस्तार से निर्देशित करने वाले एक सेट के सुरक्षा नियम होते हैं।

NSG के मुख्य पहलुओं में शामिल हैं:

ट्रैफिक नियंत्रण: प्रत्येक NSG में नियम होते हैं जो विभिन्न Azure संसाधनों से संबंधित आउटबाउंड और इनबाउंड नेटवर्क ट्रैफिक को अनुमति देने या रोकने में महत्वपूर्ण होते हैं।
नियम घटक: NSG के नियम अत्यंत विशिष्ट होते हैं, स्रोत/गंतव्य IP पता, पोर्ट, और प्रोटोकॉल जैसे मापदंडों के आधार पर ट्रैफिक को फ़िल्टर करते हैं। यह विशिष्टता नेटवर्क ट्रैफिक का विस्तार से प्रबंधन करने की अनुमति देती है।
सुरक्षा में सुधार: आपके Azure संसाधनों में केवल अधिकृत ट्रैफिक ही प्रवेश या निकास कर सकता है, इसके माध्यम से NSG आपके नेटवर्क बुनियादी सुरक्षा स्थिति को मजबूत करने में महत्वपूर्ण भूमिका निभाते हैं।

उदाहरण

सोचिए आपके पास एक NSG है जिसका नाम MyNSG है और आपने अपने VNet के भीतर किसी सबनेट या विशिष्ट वर्चुअल मशीन पर लागू किया है। आप निम्नलिखित नियम बना सकते हैं:
किसी स्रोत से आपके वेब सर्वरों के लिए HTTP ट्रैफिक (पोर्ट 80) की अनुमति देने वाला एक इनबाउंड नियम।
केवल एक विशिष्ट गंतव्य IP पता सीमा के लिए SQL ट्रैफिक (पोर्ट 1433) की अनुमति देने वाला एक आउटबाउंड नियम।

गणना

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

एज़्यूर फ़ायरवॉल

एज़्यूर फ़ायरवॉल एक प्रबंधित, क्लाउड-आधारित नेटवर्क सुरक्षा सेवा है जो आपके एज़्यूर वर्चुअल नेटवर्क संसाधनों को सुरक्षित रखती है। यह एक पूर्ण स्थितिवाही फ़ायरवॉल सेवा है जिसमें इन-बिल्ट हाई उपलब्धता और स्केलेबिलिटी सुविधाएँ हैं।

एज़्यूर फ़ायरवॉल NSGs से अधिक उन्नत विशेषताएँ प्रदान करता है, जिसमें एप्लिकेशन स्तर की फ़िल्टरिंग, नेटवर्क स्तर की फ़िल्टरिंग, धमकि इंटेलिजेंस-आधारित फ़िल्टरिंग, और लॉगिंग और विश्लेषण के लिए एज़्यूर मॉनिटर के साथ एकीकरण शामिल है। यह आउटबाउंड, इनबाउंड, स्पोक-टू-स्पोक, VPN, और एक्सप्रेसरूट ट्रैफ़िक को फ़िल्टर कर सकता है। फ़ायरवॉल नियम FQDN (पूरी योग्य डोमेन नाम), आईपी पते, और पोर्ट्स के आधार पर बनाए जा सकते हैं।

एज़्यूर फ़ायरवॉल और NSGs के बीच अंतर

विस्तार:

NSG: सबनेट या नेटवर्क इंटरफ़ेस स्तर पर काम करता है। यह नेटवर्क इंटरफ़ेस (NIC), वीएम, या सबनेट से आउटबाउंड और इनबाउंड ट्रैफ़िक की मूल फ़िल्टरिंग प्रदान करने के लिए डिज़ाइन किया गया है।
एज़्यूर फ़ायरवॉल: वीएनेट स्तर पर काम करता है, जो सुरक्षा का एक व्यापक दृष्टिकोण प्रदान करता है। यह आपके वर्चुअल नेटवर्क संसाधनों को सुरक्षित करने के लिए डिज़ाइन किया गया है और वीएनेट में आने और जाने वाले ट्रैफ़िक को प्रबंधित करने के लिए है।

क्षमताएँ:

NSG: आईपी पते, पोर्ट, और प्रोटोकॉल के आधार पर मूल फ़िल्टरिंग क्षमताएँ प्रदान करता है। यह एप्लिकेशन स्तर की जांच या धमकि इंटेलिजेंस जैसी उन्नत सुविधाएँ समर्थित नहीं करता।
एज़्यूर फ़ायरवॉल: एप्लिकेशन स्तर (लेयर 7) ट्रैफ़िक फ़िल्टरिंग, धमकि इंटेलिजेंस-आधारित फ़िल्टरिंग, नेटवर्क ट्रैफ़िक फ़िल्टरिंग, और अधिक जैसी उन्नत सुविधाएँ प्रदान करता है। यह कई सारे सार्वजनिक आईपी पतों का समर्थन भी करता है।

उपयोग मामले:

NSG: मूल नेटवर्क स्तर की ट्रैफ़िक फ़िल्टरिंग के लिए आदर्श है।
एज़्यूर फ़ायरवॉल: जहाँ एप्लिकेशन स्तर का नियंत्रण, लॉगिंग, और धमकि इंटेलिजेंस की आवश्यकता हो, वहाँ अधिक जटिल फ़िल्टरिंग स्थितियों के लिए उपयुक्त है।

प्रबंधन और मॉनिटरिंग:

NSG: मूल लॉगिंग और एज़्यूर मॉनिटर के साथ एकीकरण प्रदान करता है।
एज़्यूर फ़ायरवॉल: ट्रैफ़िक की प्रकृति और पैटर्न को समझने के लिए आवश्यक एज़्यूर मॉनिटर के माध्यम से उन्नत लॉगिंग और विश्लेषण क्षमताएँ प्रदान करता है।

गणना

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

नेटवर्क वर्चुअल एप्लायंस (NVA)

एज़्यूर में नेटवर्क वर्चुअल एप्लायंस (NVA) एक वर्चुअल एप्लायंस है जो एक वर्चुअल नेटवर्क के भीतर नेटवर्क कार्यों को करता है। NVA आम तौर पर उन नेटवर्क कार्यों के लिए उपयोग किया जाता है जो एज़्यूर में मूल रूप से उपलब्ध नहीं हैं या जब अधिक अनुकूलन की आवश्यकता होती है। वे मूल रूप से वीएम्स हैं जो नेटवर्क एप्लीकेशन या सेवाएं चलाते हैं, जैसे कि फ़ायरवॉल, डब्ल्यूएएन ऑप्टिमाइज़र्स, या लोड बैलेंसर्स।

NVA का उपयोग जटिल रूटिंग, सुरक्षा, और नेटवर्क ट्रैफ़िक प्रबंधन कार्यों के लिए किया जाता है। इन्हें एज़्यूर मार्केटप्लेस से डिप्लॉय किया जा सकता है, जहाँ कई थर्ड-पार्टी वेंडर्स अपने एप्लायंस को एज़्यूर माहौल में एकीकरण के लिए उपलब्ध कराते हैं।

उदाहरण

एक संगठन एज़्यूर में एक NVA डिप्लॉय कर सकता है ताकि वह एक कस्टम फ़ायरवॉल समाधान बना सके। यह NVA एक थर्ड-पार्टी फ़ायरवॉल सॉफ़्टवेयर चला सकता है, जो उन्नत सुविधाएँ प्रदान करता है जैसे कि दर intrusion detection, पैकेट इंस्पेक्शन, या VPN कनेक्टिविटी। NVA को यह कॉन्फ़िगर किया जा सकता है कि वह से गुज़रते ट्रैफ़िक की जांच और फ़िल्टरिंग कर सके, सुनिश्चित करते हुए कि संगठन की नीतियों के अनुसार उन्हें बेहतर सुरक्षा उपाय हैं।

गणना

# Usually NVAs are named or tagged in a way to distinguish them from other VMs
az vm list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# For a specific VM identified as an NVA, list its network interfaces
az vm nic list --vm-name <VMName> --resource-group <ResourceGroupName> --query "[].{id:id}" -o table

एज़्यूर रूट टेबल और उपयोगकर्ता परिभाषित मार्ग (UDR)

एज़्यूर रूट टेबल माइक्रोसॉफ्ट एज़्यूर के भीतर एक सुविधा है जो एज़्यूर वर्चुअल नेटवर्क्स (वीएनेट्स) के भीतर नेटवर्क ट्रैफ़िक रूटिंग को नियंत्रित करने की अनुमति देती है। मूल रूप से, ये परिभाषित करते हैं कि पैकेट कैसे वीएनेट्स के भीतर सबनेट्स के बीच, वीएनेट्स के बीच, या बाहरी नेटवर्क्स के बीच फ़ॉरवर्ड किए जाते हैं। प्रत्येक रूट टेबल में निर्दिष्ट किए गए नियम होते हैं, जिन्हें रूट्स कहा जाता है, जो पैकेट को उनके गंतव्य आईपी पतों के आधार पर कैसे रूट किया जाना चाहिए यह निर्धारित करते हैं।

एज़्यूर में उपयोगकर्ता परिभाषित मार्ग (UDR) एज़्यूर रूट टेबल के भीतर बनाए गए कस्टम मार्ग हैं जिन्हें आप नेटवर्क ट्रैफ़िक को नियंत्रित करने के लिए बनाते हैं वीएनेट्स के भीतर और उनके बीच, और बाहरी कनेक्शनों को। UDRs आपको नेटवर्क ट्रैफ़िक को अपनी विशेष आवश्यकताओं के अनुसार निर्देशित करने की लाता है, जो एज़्यूर के डिफ़ॉल्ट रूटिंग निर्णयों को ओवरराइड करता है।

ये मार्ग विशेष रूप से उन स्थितियों के लिए उपयोगी हैं जहाँ आपको ट्रैफ़िक को एक वर्चुअल एप्लायंस के माध्यम से रूट करने की आवश्यकता है, सुरक्षा या नीति अनुपालन के लिए एक विशेष पथ को प्रवर्तित करने के लिए, या ऑन-प्रेमिस नेटवर्क्स के साथ एकीकरण करने के लिए।

उदाहरण

मान लीजिए आपने एक नेटवर्क वर्चुअल एप्लायंस (एनवीए) डिप्लॉय किया है जो एक वीएनेट के भीतर सबनेट्स के बीच ट्रैफ़िक की जांच के लिए। आप एक UDR बना सकते हैं जो एक सबनेट से दूसरे सबनेट में सभी ट्रैफ़िक को एनवीए के माध्यम से जाने के लिए निर्देशित करता है। यह UDR सुनिश्चित करता है कि एनवीए ट्रैफ़िक की सुरक्षा के उद्देश्यों के लिए उसके गंतव्य तक पहुंचने से पहले एनवीए जांच करता है।

गणना

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List UDRs for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

एज़्यूर प्राइवेट लिंक

एज़्यूर प्राइवेट लिंक एक सेवा है जो एज़्यूर में एज़्यूर सेवाओं तक निजी पहुंच को सुनिश्चित करने की सेवा है जिससे आपके एज़्यूर वर्चुअल नेटवर्क (वीएनेट) और सेवा के बीच ट्रैफ़िक पूरी तरह से माइक्रोसॉफ्ट के एज़्यूर बैकबोन नेटवर्क के अंदर ही चलता है। यह वास्तव में सेवा को आपके वीएनेट में लाता है। यह सेटअप सुरक्षा को बढ़ाता है क्योंकि यह डेटा को सार्वजनिक इंटरनेट को उजागर नहीं करता।

प्राइवेट लिंक का उपयोग विभिन्न एज़्यूर सेवाओं के साथ किया जा सकता है, जैसे एज़्यूर स्टोरेज, एज़्यूर SQL डेटाबेस, और प्राइवेट लिंक के माध्यम से साझा की गई कस्टम सेवाएं। यह आपके खुद के वीएनेट से सेवाओं का उपभोग करने के लिए एक सुरक्षित तरीका प्रदान करता है या फिर विभिन्न एज़्यूर सब्सक्रिप्शन से भी।

प्राइवेट एंडपॉइंट्स के साथ एनएसजी का लागू नहीं होता है, जिससे स्पष्ट रूप से यह मतलब है कि प्राइवेट लिंक को समाप्त करने वाले सबनेट के साथ एनएसजी को जोड़ने से कोई प्रभाव नहीं होगा।

उदाहरण

एक स्थिति का विचार करें जहां आपके पास एक एज़्यूर SQL डेटाबेस है जिसका आप अपने वीएनेट से सुरक्षित रूप से एक्सेस करना चाहते हैं। सामान्यत: यह सार्वजनिक इंटरनेट को चलना शामिल हो सकता है। प्राइवेट लिंक के साथ, आप एक प्राइवेट एंडपॉइंट बना सकते हैं अपने वीएनेट में जो सीधे एज़्यूर SQL डेटाबेस सेवा से कनेक्ट करता है। यह एंडपॉइंट डेटाबेस को आपके खुद के वीएनेट का हिस्सा बनाता है, एक निजी आईपी पते के माध्यम से पहुंचने योग्य बनाता है, जिससे सुरक्षित और निजी पहुंच होती है।

गणना

# List Private Link Services
z network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

एज़्यूर सेवा एंडपॉइंट्स

एज़्यूर सेवा एंडपॉइंट्स आपके वर्चुअल नेटवर्क के निजी पते अंतरिक्ष और आपके वीएनेट की पहचान को एज़्यूर सेवाओं के साथ सीधे कनेक्शन के माध्यम से बढ़ाते हैं। सेवा एंडपॉइंट्स को सक्षम करके, आपके वीएनेट में संसाधन एज़्यूर सेवाओं से सुरक्षित रूप से कनेक्ट कर सकते हैं, जैसे कि एज़्यूर स्टोरेज और एज़्यूर SQL डेटाबेस, एज़्यूर की बैकबोन नेटवर्क का उपयोग करके। यह सुनिश्चित करता है कि वीएनेट से एज़्यूर सेवा तक ट्रैफिक एज़्यूर नेटवर्क के अंदर ही रहता है, एक अधिक सुरक्षित और विश्वसनीय पथ प्रदान करते हुए।

उदाहरण

उदाहरण के लिए, एक एज़्यूर स्टोरेज खाता डिफ़ॉल्ट रूप से सार्वजनिक इंटरनेट के माध्यम से पहुंचने योग्य होता है। अपने वीएनेट में एज़्यूर स्टोरेज के लिए एक सेवा एंडपॉइंट सक्षम करके, आप सुनिश्चित कर सकते हैं कि केवल आपके वीएनेट से ही स्टोरेज खाता तक पहुंच सकता है। फिर स्टोरेज खाता फ़ायरवॉल को कॉन्फ़िगर किया जा सकता है कि केवल आपके वीएनेट से ही ट्रैफिक स्वीकार कर सकता है।

गणना

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

सेवा अंतबिंदु और निजी लिंक के बीच अंतर

माइक्रोसॉफ्ट दस्तावेज़ में निजी लिंक का उपयोग करने की सिफारिश की गई है:\

सेवा अंतबिंदु:

आपके VNet से आज़्यूर सेवा तक ट्रैफ़िक माइक्रोसॉफ्ट आज़्यूर बैकबोन नेटवर्क के माध्यम से चलता है, सार्वजनिक इंटरनेट को छोड़कर।
अंतबिंदु आज़्यूर सेवा के लिए सीधा कनेक्शन है और VNet में सेवा के लिए निजी आईपी नहीं प्रदान करता है।
सेवा खुद आपके VNet के बाहर से अपने सार्वजनिक अंतबिंदु के माध्यम से अभिगम्य है, जब तक आप सेवा फ़ायरवॉल को ऐसे ट्रैफ़िक को ब्लॉक करने के लिए कॉन्फ़िगर नहीं करते।
यह एक-से-एक संबंध है सबनेट और आज़्यूर सेवा के बीच।
निजी लिंक से कम महंगा है।

निजी लिंक:

निजी लिंक आज़्यूर सेवाओं को आपके VNet में एक निजी अंतबिंदु के माध्यम से मैप करता है, जो आपके VNet में निजी आईपी पता वाला नेटवर्क इंटरफ़ेस है।
आज़्यूर सेवा को इस निजी आईपी पते का उपयोग करके एक्सेस किया जाता है, जिससे ऐसा लगता है कि यह आपके नेटवर्क का हिस्सा है।
निजी लिंक के माध्यम से कनेक्ट की गई सेवाओं को केवल आपके VNet या कनेक्टेड नेटवर्क से ही एक्सेस किया जा सकता है; सेवा के लिए सार्वजनिक इंटरनेट एक्सेस नहीं है।
यह आज़्यूर सेवाओं या आपकी खुद की सेवाओं को सुरक्षित रूप से कनेक्ट करने की अनुमति देता है, साथ ही दूसरों द्वारा साझा की गई सेवाओं से कनेक्शन भी।
यह निजी आंतरिक अंतबिंदु के माध्यम से अधिक ग्रैनुलर एक्सेस नियंत्रण प्रदान करता है आपके VNet में, सेवा अंतबिंदु के स्तर पर व्यापक एक्सेस नियंत्रण के विपरीत।

सारांश में, जबकि सेवा अंतबिंदु और निजी लिंक दोनों आज़्यूर सेवाओं के लिए सुरक्षित कनेक्टिविटी प्रदान करते हैं, निजी लिंक उच्च स्तर की अलगाव और सुरक्षा प्रदान करते हैं यह सुनिश्चित करके कि सेवाएं सार्वजनिक इंटरनेट को उजागर न करके निजी रूप से एक्सेस की जाती हैं। दूसरी ओर, सेवा अंतबिंदु सरल मामलों के लिए सेटअप करना आसान है जहां आज़्यूर सेवाओं तक का सुरक्षित एक्सेस आवश्यक है बिना VNet में निजी आईपी की आवश्यकता के।

आज़्यूर फ्रंट डोर (AFD) और AFD WAF

आज़्यूर फ्रंट डोर आपके वैश्विक वेब एप्लिकेशन को तेज वितरण के लिए एक स्केलेबल और सुरक्षित प्रवेश बिंदु है। यह विभिन्न सेवाओं को सम्मिलित करता है जैसे वैश्विक लोड बैलेंसिंग, साइट त्वरण, एसएसएल ऑफलोडिंग, और वेब एप्लिकेशन फ़ायरवॉल (WAF) क्षमताएँ एक ही सेवा में। आज़्यूर फ्रंट डोर उपयोगकर्ता के निकटतम एज़ स्थान के आधार पर बुद्धिमान रूटिंग प्रदान करता है, जिससे श्रेष्ठ प्रदर्शन और विश्वसनीयता सुनिश्चित होती है। इसके अतिरिक्त, यह URL-आधारित रूटिंग, मल्टी-साइट होस्टिंग, सत्र संबंधितता, और एप्लिकेशन स्तर सुरक्षा प्रदान करता है।

आज़्यूर फ्रंट डोर WAF वेब आवाधियों से वेब-आधारित हमलों से लैंगिक एप्लिकेशनों को सुरक्षित रखने के लिए डिज़ाइन किया गया है बैक-एंड कोड के संशोधन के बिना। इसमें सामान्य आक्रमणों जैसे एसक्यूएल इंजेक्शन, क्रॉस-साइट स्क्रिप्टिंग, और अन्य सामान्य हमलों से बचाव के लिए कस्टम नियम और प्रबंधित नियम सेट शामिल हैं।

उदाहरण

सोचिए आपके पास एक वैश्विक वितरित एप्लिकेशन है जिसमें दुनिया भर में उपयोगकर्ता हैं। आप आज़्यूर फ्रंट डोर का उपयोग करके उपयोगकर्ता अनुरोधों को अपने एप्लिकेशन को होस्ट करने वाले सबसे निकट क्षेत्रीय डेटा सेंटर में रूट करने के लिए कर सकते हैं, इससे लैटेंसी को कम किया जा सकता है, उपयोगकर्ता अनुभव को सुधारा जा सकता है और WAF क्षमताओं के साथ वेब हमलों से बचाया जा सकता है। यदि किसी विशेष क्षेत्र में डाउनटाइम होता है, तो आज़्यूर फ्रंट डोर स्वचालित रूप से ट्रैफ़िक को अगले सर्वश्रेष्ठ स्थान पर रीराउट कर सकता है, उच्च उपलब्धता सुनिश्चित करते हुए।

गणना

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

एज़्यूर एप्लीकेशन गेटवे और एज़्यूर एप्लीकेशन गेटवे डब्ल्यूएएफ

एज़्यूर एप्लीकेशन गेटवे एक वेब ट्रैफ़िक लोड बैलांसर है जो आपको अपने वेब एप्लीकेशन के ट्रैफ़िक को प्रबंधित करने की सुविधा प्रदान करता है। यह एक सेवा के रूप में एप्लीकेशन डिलीवरी कंट्रोलर (एडीसी) में लेयर 7 लोड बैलांसिंग, एसएसएल समाप्ति, और वेब एप्लीकेशन फ़ायरवॉल (डब्ल्यूएएफ) क्षमताएँ प्रदान करता है। मुख्य विशेषताएँ URL आधारित रूटिंग, कुकी आधारित सत्र संबंध, और सुरक्षित सॉकेट्स लेयर (एसएसएल) ऑफलोडिंग शामिल हैं, जो विश्व स्तरीय रूटिंग और पथ-आधारित रूटिंग जैसी जटिल लोड-बैलांसिंग क्षमताएँ आवश्यक हैं।

उदाहरण

एक स्थिति का विचार करें जहाँ आपके पास एक ई-कॉमर्स वेबसाइट है जिसमें विभिन्न कार्यों के लिए अनेक सबडोमेन शामिल हैं, जैसे उपयोगकर्ता खाते और भुगतान प्रसंस्करण। एज़्यूर एप्लीकेशन गेटवे URL पथ के आधार पर उचित वेब सर्वरों को ट्रैफ़िक रूट कर सकता है। उदाहरण के लिए, example.com/accounts पर ट्रैफ़िक को उपयोगकर्ता खात सेवा की ओर निर्देशित किया जा सकता है, और example.com/pay पर ट्रैफ़िक को भुगतान प्रसंस्करण सेवा की ओर निर्देशित किया जा सकता है। और डब्ल्यूएएफ क्षमताओं का उपयोग करके अपनी वेबसाइट को हमलों से सुरक्षित रखें।

गणना

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

एज़्यूर हब, स्पोक और वीएनेट पीयरिंग

वीएनेट पीयरिंग एक नेटवर्किंग फीचर है जो एज़्यूर में अलग-अलग वर्चुअल नेटवर्क्स (वीएनेट्स) को सीधे और स्लिक्की तरीके से कनेक्ट करने की अनुमति देता है। वीएनेट पीयरिंग के माध्यम से, एक वीएनेट में संसाधन दूसरे वीएनेट में स्वयंसेवा आईपी पतों का उपयोग करके संवाद कर सकते हैं, जैसे कि वे एक ही नेटवर्क में हों। वीएनेट पीयरिंग को एक ऑन-प्रेम नेटवर्क्स के साथ भी उपयोग किया जा सकता है एक साइट-टू-साइट वीपीएन या एज़्यूर एक्सप्रेसरूट सेट करके।

एज़्यूर हब और स्पोक एक नेटवर्क टोपोलॉजी है जो एज़्यूर में उपयोग की जाती है नेटवर्क ट्रैफ़िक को प्रबंधित और संगठित करने के लिए। "हब" एक केंद्रीय बिंदु है जो विभिन्न "स्पोक" के बीच ट्रैफ़िक को नियंत्रित और रूट करता है। हब में सामान्य सेवाएं शामिल होती हैं जैसे कि नेटवर्क वर्चुअल एप्लायंसेस (एनवीएस), एज़्यूर वीपीएन गेटवे, एज़्यूर फ़ायरवॉल, या एज़्यूर बास्टियन। "स्पोक" वीएनेट्स हैं जो कार्यभार धारण करते हैं और वीएनेट पीयरिंग का उपयोग करके हब से कनेक्ट होते हैं, जिससे उन्हें हब के भीतर साझा सेवाओं का लाभ उठाने का अवसर मिलता है। यह मॉडल साफ नेटवर्क लेआउट को प्रोत्साहित करता है, विभिन्न वीएनेट्स के कई कार्यभारों के लिए सामान्य सेवाओं को केंद्रीकृत करके जटिलता को कम करता है।

एज़्यूर में वीएनेट पेयरिंग गैर-परस्पर संक्रामक है, जिसका अर्थ है कि अगर स्पोक 1 स्पोक 2 से कनेक्ट है और स्पोक 2 स्पोक 3 से कनेक्ट है तो स्पोक 1 सीधे स्पोक 3 से बात नहीं कर सकता।

उदाहरण

सोचिए एक कंपनी को अलग विभागों जैसे कि बिक्री, एचआर, और विकास, प्रत्येक के अपने वीएनेट होते हैं (स्पोक्स)। ये वीएनेट्स साझा संसाधनों तक पहुंच की आवश्यकता है जैसे कि एक केंद्रीय डेटाबेस, एक फ़ायरवॉल, और इंटरनेट गेटवे, जो सभी एक और वीएनेट में स्थित हैं (हब)। हब और स्पोक मॉडल का उपयोग करके, प्रत्येक विभाग सुरक्षित रूप से साझा संसाधनों से हब वीएनेट के माध्यम से कनेक्ट हो सकता है बिना उन संसाधनों को सार्वजनिक इंटरनेट को उजागर करने या एक जटिल नेटवर्क संरचना बनाने की आवश्यकता है जिसमें कई कनेक्शन्स हों।

गणना

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

साइट-टू-साइट वीपीएन

एक आज़्यूर में साइट-टू-साइट वीपीएन आपको अपनी प्रीमिसेस नेटवर्क को अपने आज़्यूर वर्चुअल नेटवर्क (वीनेट) से कनेक्ट करने की अनुमति देता है, जिससे आज़्यूर के भीतर संसाधन जैसे वीएम आपके स्थानीय नेटवर्क पर होने की तरह दिखाई देते हैं। यह कनेक्शन दो नेटवर्कों के बीच ट्रैफ़िक को एन्क्रिप्ट करने वाले एक वीपीएन गेटवे के माध्यम से स्थापित किया जाता है।

उदाहरण

न्यू यॉर्क में अपना मुख्य कार्यालय रखने वाली एक व्यावसायिक संस्था के पास एक प्रीमिसेस डेटा सेंटर है जो अपने वर्चुअलाइज़ड वर्कलोड को होस्ट करने वाले आज़्यूर में अपने वीनेट को सुरक्षित रूप से कनेक्ट करने की आवश्यकता है। **साइट-टू-साइट वीपीएन सेटअप करके, कंपनी सुनिश्चित कर सकती है कि प्रीमिसेस सर्वर्स और आज़्यूर वीएम के बीच एन्क्रिप्टेड कनेक्टिविटी स्थापित हो, जिससे संसाधन सुरक्षित रूप से दोनों परिवेशों में समान लोकल नेटवर्क में होने की तरह एक्सेस किए जा सकते हैं।

गणना

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

एज़्यूर एक्सप्रेसरूट

एज़्यूर एक्सप्रेसरूट एक सेवा है जो आपके ऑन-प्रेमिस इंफ्रास्ट्रक्चर और एज़्यूर डेटा सेंटर के बीच एक निजी, समर्पित, उच्च गति वाला कनेक्शन प्रदान करती है। यह कनेक्शन एक कनेक्टिविटी प्रदाता के माध्यम से बनाया जाता है, सार्वजनिक इंटरनेट को छोड़कर और सामान्य इंटरनेट कनेक्शन से अधिक विश्वसनीयता, तेज गति, कम लेटेंसी, और उच्च सुरक्षा प्रदान करता है।

उदाहरण

एक बहुराष्ट्रीय कॉर्पोरेशन को अपनी एज़्यूर सेवाओं के लिए डेटा के उच्च मात्रा और उच्च थ्रूपुट की आवश्यकता होने के कारण एक स्थिर और विश्वसनीय कनेक्शन की आवश्यकता होती है। कंपनी एज़्यूर एक्सप्रेसरूट का चयन करती है ताकि अपने ऑन-प्रेमिस डेटा सेंटर को एज़्यूर से सीधे कनेक्ट कर सके, बड़े पैमाने पर डेटा स्थानांतरण, जैसे दैनिक बैकअप और वास्तविक समय डेटा विश्लेषण, को बढ़ावा देते हुए गोपनीयता और गति के साथ।

गणना

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)!

दूसरे तरीके HackTricks का समर्थन करने के लिए:

अगर आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सब्सक्रिप्शन प्लान्स देखें!
आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
हमारे विशेष NFTs कलेक्शन, The PEASS Family खोजें
शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या हमें ट्विटर पर फॉलो करें 🐦 @hacktricks_live.
हैकिंग ट्रिक्स साझा करें, HackTricks और HackTricks Cloud github repos में PRs सबमिट करके।

PreviousAz - Virtual Machines & Network NextAz - Permissions for a Pentest

Last updated 2 months ago