GCP - VPC & Networking

htARTE（HackTricks AWS Red Team Expert） を通じてゼロからヒーローまでAWSハッキングを学ぶ！

HackTricks をサポートする他の方法:

HackTricks で企業を宣伝したい場合や HackTricks をPDFでダウンロードしたい場合は SUBSCRIPTION PLANS をチェック！
公式PEASS＆HackTricksグッズを入手
The PEASS Familyを発見し、独占的な NFTsを入手
**💬 Discordグループ に参加するか、telegramグループ に参加するか、Twitter 🐦 @hacktricks_live をフォローする。
HackTricks と HackTricks Cloud の GitHub リポジトリに PR を提出して、あなたのハッキングテクニックを共有してください。

GCP Compute Networking の要点

VPC には Firewall ルールが含まれ、VPC への着信トラフィックを許可します。VPC にはまた、仮想マシン が 接続される サブネットワーク も含まれています。 AWS と比較すると、Firewall は AWS のセキュリティグループと NACL に 最も近いものですが、この場合、これらは VPC で定義されており、各インスタンスではないです。

GCP の VPC、サブネットワーク、およびファイアウォール

Compute インスタンスは VPC の一部である サブネットワーク に接続されます（Virtual Private Clouds）。GCP にはセキュリティグループは存在せず、VPC ファイアウォール があり、これらはネットワークレベルで定義されたルールが各 VM インスタンスに適用されます。

サブネットワーク

VPC には 複数のサブネットワーク を持つことができます。各 サブネットワークは 1 つのリージョンにあります。

ファイアウォール

デフォルトでは、すべてのネットワークには二つの暗黙のファイアウォールルールがあります: アウトバウンドを許可 および インバウンドを拒否。

GCP プロジェクトが作成されると、default という名前の VPC が作成され、次のファイアウォールルールが適用されます:

default-allow-internal: default ネットワーク上の他のインスタンスからのすべてのトラフィックを許可
default-allow-ssh: どこからでも 22 を許可
default-allow-rdp: どこからでも 3389 を許可
default-allow-icmp: どこからでも ping を許可

ファイアウォールルールは 内部 IP アドレスに対して より許可的になる傾向があります。デフォルトの VPC では、Compute インスタンス間のすべてのトラフィックを許可します。

デフォルトの VPC または新しい VPC に対して追加の ファイアウォールルール を作成できます。ファイアウォールルールは以下の方法でインスタンスに適用できます:

ネットワークタグ
サービスアカウント
VPC 内のすべてのインスタンス

残念ながら、インターネット上のオープンポートを持つすべての Compute インスタンスを一括で取得するための簡単な gcloud コマンドはありません。ファイアウォールルール、ネットワークタグ、サービスアカウント、およびインスタンスの間の関連付けを行う必要があります。

このプロセスは、この Python スクリプトを使用して自動化され、以下をエクスポートします:

インスタンス、パブリック IP、許可された TCP、許可された UDP を示す CSV ファイル
インターネットからのすべてのインスタンスを対象とする nmap スキャン（0.0.0.0/0 からの許可されたポートイングレス）
インターネットからのすべての TCP ポートを許可するこれらのインスタンスの全 TCP レンジを対象とする masscan

階層型ファイアウォールポリシー

階層型ファイアウォールポリシー を使用すると、組織全体で一貫したファイアウォールポリシーを作成および強制できます。これらのポリシーを組織全体または個々の フォルダ に割り当てることができます。これらのポリシーには接続を明示的に拒否または許可するルールが含まれます。

ファイアウォールポリシーを作成および適用することは別々のステップです。ファイアウォールポリシーを リソース階層 の 組織またはフォルダノード で作成および適用できます。ファイアウォールポリシールールは、接続をブロック、接続を許可、または VPC ネットワークで定義された VPC ファイアウォールルールにファイアウォールルール評価を遅延させることができます。

デフォルトでは、階層型ファイアウォールポリシールールは、ポリシーが関連付けられている組織またはフォルダの下のすべてのプロジェクトのすべての VM に適用されます。ただし、ターゲットネットワークまたはターゲットサービスアカウントを指定することで、特定の VM にルールを適用できます。

ここで 階層型ファイアウォールポリシーを作成 する方法を読むことができます。

ファイアウォールルールの評価

組織: 組織に割り当てられたファイアウォールポリシー
フォルダ: フォルダに割り当てられたファイアウォールポリシー
VPC: VPC に割り当てられたファイアウォールルール
グローバル: VPC に割り当てられた別のタイプのファイアウォールルール
リージョナル: VM の NIC と VM のリージョンに関連付けられた VPC ネットワークに関連付けられたファイアウォールルール。

VPC ネットワークピアリング

2 つの Virtual Private Cloud (VPC) ネットワークを接続し、各ネットワークのリソースが互いに通信できるようにします。ピアリングされた VPC ネットワークは、同じプロジェクト内、同じ組織の異なるプロジェクト内、または 異なる組織の異なるプロジェクト内に配置できます。

必要な権限は次のとおりです:

compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes

詳細はドキュメントを参照.

参考文献

htARTE（HackTricks AWS Red Team Expert） を通じてゼロからヒーローまでAWSハッキングを学ぶ！

HackTricks をサポートする他の方法:

HackTricks で企業を宣伝したい場合や HackTricks をPDFでダウンロードしたい場合は SUBSCRIPTION PLANS をチェック！
公式PEASS＆HackTricksグッズを入手
The PEASS Familyを発見し、独占的な NFTsを入手
**💬 Discordグループ に参加するか、telegramグループ に参加するか、Twitter 🐦 @hacktricks_live をフォローする。
HackTricks と HackTricks Cloud の GitHub リポジトリに PR を提出して、あなたのハッキングテクニックを共有してください。

前へGCP - Compute Instances 次へGCP - Containers, GKE & Composer Enum

最終更新 2 日前