GCP - VPC & Networking

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सदस्यता योजनाएं जांचें!
आधिकारिक PEASS और HackTricks स्वैग प्राप्त करें
The PEASS Family की खोज करें, हमारा विशेष NFTs संग्रह
शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या हमें ट्विटर पर फॉलो करें 🐦 @hacktricks_live।
हैकिंग ट्रिक्स साझा करें द्वारा PRs सबमिट करके HackTricks और HackTricks Cloud github repos.

GCP कंप्यूट नेटवर्किंग संक्षेप में

VPCs में Firewall नियम होते हैं जो वीपीसी में आने वाली ट्रैफिक को अनुमति देने के लिए होते हैं। VPCs में subnetworks भी होते हैं जहां वर्चुअल मशीन को कनेक्ट किया जाएगा। AWS के साथ तुलना करते हुए, Firewall AWS सिक्योरिटी ग्रुप्स और NACLs के निकटतम चीज होगा, लेकिन इस मामले में ये VPC में परिभाषित होते हैं और हर इंस्टेंस में नहीं।

GCP में VPC, Subnetworks और Firewalls

कंप्यूट इंस्टेंस subnetworks से कनेक्ट होते हैं जो VPCs (वर्चुअल प्राइवेट क्लाउड) का हिस्सा होते हैं। GCP में सिक्योरिटी ग्रुप्स नहीं हैं, यहां VPC फ़ायरवॉल होते हैं जिनके नियम इस नेटवर्क स्तर पर परिभाषित होते हैं लेकिन प्रत्येक VM इंस्टेंस पर लागू होते हैं।

Subnetworks

एक VPC में कई सबनेटवर्क हो सकते हैं। प्रत्येक सबनेटवर्क 1 क्षेत्र में होता है।

Firewalls

डिफ़ॉल्ट रूप से, हर नेटवर्क में दो शामिल फ़ायरवॉल नियम होते हैं: आउटबाउंड की अनुमति और इनबाउंड की निषेध।

जब एक GCP प्रोजेक्ट बनाया जाता है, तो एक VPC भी बनाया जाता है जिसका नाम डिफ़ॉल्ट होता है, जिसमें निम्नलिखित फ़ायरवॉल नियम होते हैं:

डिफ़ॉल्ट-अलाउ-इंटरनल: डिफ़ॉल्ट नेटवर्क पर अन्य इंस्टेंस से सभी ट्रैफिक की अनुमति
डिफ़ॉल्ट-अलाउ-एसएसएच: हर जगह से 22 की अनुमति
डिफ़ॉल्ट-अलाउ-आरडीपी: हर जगह से 3389 की अनुमति
डिफ़ॉल्ट-अलाउ-आइसीएमपी: हर जगह से पिंग की अनुमति

जैसा कि आप देख सकते हैं, फ़ायरवॉल नियम अंदरूनी आईपी पतों के लिए अधिक अनुमतिपूर्ण होते हैं। डिफ़ॉल्ट VPC किसी भी ट्रैफिक की अनुमति देता है।

डिफ़ॉल्ट VPC या नए VPCs के लिए अधिक फ़ायरवॉल नियम बनाए जा सकते हैं। फ़ायरवॉल नियम को निम्नलिखित तरीकों से लागू किया जा सकता है:

नेटवर्क टैग
सेवा अकाउंट्स
एक VPC के सभी इंस्टेंसेज

दुर्भाग्य से, इंटरनेट पर खुले पोर्ट्स वाली सभी कंप्यूट इंस्टेंसेज को दिखाने के लिए एक सरल gcloud कमांड नहीं है। आपको फायरवॉल नियम, नेटवर्क टैग, सेवा अकाउंट्स और इंस्टेंसेज के बीच रिश्तों को जोड़ने की आवश्यकता है।

इस प्रक्रिया को इस पायथन स्क्रिप्ट का उपयोग करके स्वचालित किया गया गया था जो निम्नलिखित को निर्यात करेगा:

इंस्टेंस, सार्वजनिक आईपी, अनुमत TCP, अनुमत UDP दिखाने वाली CSV फ़ाइल
सार्वजनिक इंटरनेट से अनुमति देने वाले सभी इंस्टेंसेज पर पोर्ट्स लक्ष्य करने के लिए nmap स्कैन (0.0.0.0/0)
सार्वजनिक इंटरनेट से सभी TCP पोर्ट्स की अनुमति देने वाले उन इंस्टेंसेज पर पूर्ण TCP रेंज का लक्ष्य करने के लिए masscan

वार्षिक फ़ायरवॉल नीतियाँ

वार्षिक फ़ायरवॉल नीतियाँ आपको अपने संगठन में एक संगत फ़ायरवॉल नीति बनाने और प्रवर्तित करने की अनुमति देती हैं। आप संगठन को पूरे या व्यक्तिगत फोल्डर्स को इन नीतियों से जोड़ सकते हैं। इन नीतियों में नियम होते हैं जो संबंधित कनेक्शन को स्पष्ट रूप से नकारने या अनुमति देने की अनुमति देते हैं।

आप फ़ायरवॉल नीतियों को अलग-अलग कदमों के रूप में बना सकते हैं और लागू कर सकते हैं। आप संसाधन वर्गीकरण के संगठन या फोल्डर नोड्स पर फ़ायरवॉल नीतियाँ बना सकते हैं। एक फ़ायरवॉल नीति नियम **कनेक्शन को ब्लॉक कर सकता है, कनेक्शन को अनुमति दे सकता है, या निचले स्तर के फोल्डर्स या VPC नेटवर्क में परिभाषित VPC फ़ायरवॉल नियमों को आगे निर्धारित कर सकता है।

डिफ़ॉल्ट रूप से, सभी वार्षिक फ़ायरवॉल नीति नियम संगठन या फोल्डर के तहत सभी प्रोजेक्ट्स में सभी वीएम्स पर लागू होते हैं। हालांकि, आप लक्ष्य नेटवर्क या लक्ष्य सेवा अकाउंट्स को निर्दिष्ट करके किस वीएम्स को एक निर्दिष्ट नियम मिलता है यह प्रतिबंधित कर सकते हैं।

आप यहां पढ़ सकते हैं कि हायरार्किकल फ़ायरवॉल नीति कैसे बनाई जाती है।

फ़ायरवॉल नियमों का मूल्यांकन

संगठन: संगठन को सौंपी गई फ़ायरवॉल नीतियाँ
फोल्डर: फोल्डर को सौंपी गई फ़ायरवॉल नीतियाँ

PreviousGCP - Compute Instances NextGCP - Containers, GKE & Composer Enum

Last updated 12 days ago