GCP - VPC & Networking

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

Se você quiser ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Verifique os PLANOS DE ASSINATURA!
Obtenha o swag oficial PEASS & HackTricks
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe seus truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

Rede de Computação GCP em Poucas Palavras

VPCs contêm regras de Firewall para permitir tráfego de entrada para a VPC. As VPCs também contêm sub-redes onde as máquinas virtuais serão conectadas. Comparando com a AWS, o Firewall seria a coisa mais próxima dos Grupos de Segurança e NACLs da AWS, mas neste caso eles são definidos na VPC e não em cada instância.

VPC, Sub-redes e Firewalls no GCP

As Instâncias de Computação estão conectadas a sub-redes que fazem parte das VPCs (Virtual Private Clouds). No GCP não existem grupos de segurança, existem firewalls de VPC com regras definidas neste nível de rede, mas aplicadas a cada Instância de VM.

Sub-redes

Uma VPC pode ter várias sub-redes. Cada sub-rede está em 1 região.

Firewalls

Por padrão, toda rede tem duas regras de firewall implícitas: permitir saída e negar entrada.

Quando um projeto GCP é criado, uma VPC chamada default também é criada, com as seguintes regras de firewall:

default-allow-internal: permitir todo o tráfego de outras instâncias na rede default
default-allow-ssh: permitir 22 de qualquer lugar
default-allow-rdp: permitir 3389 de qualquer lugar
default-allow-icmp: permitir ping de qualquer lugar

Como você pode ver, as regras de firewall tendem a ser mais permissivas para endereços IP internos. A VPC padrão permite todo o tráfego entre Instâncias de Computação.

Mais regras de firewall podem ser criadas para a VPC padrão ou para novas VPCs. Regras de firewall podem ser aplicadas às instâncias por meio dos seguintes métodos:

Tags de rede
Contas de serviço
Todas as instâncias dentro de uma VPC

Infelizmente, não há um comando gcloud simples para listar todas as Instâncias de Computação com portas abertas na internet. Você precisa conectar os pontos entre as regras de firewall, tags de rede, contas de serviço e instâncias.

Esse processo foi automatizado usando este script em python que exportará o seguinte:

Arquivo CSV mostrando instância, IP público, TCP permitido, UDP permitido
varredura nmap para direcionar todas as instâncias em portas de entrada permitidas da internet pública (0.0.0.0/0)
masscan para direcionar a faixa TCP completa daquelas instâncias que permitem TODAS as portas TCP da internet pública (0.0.0.0/0)

Políticas de Firewall Hierárquicas

Políticas de firewall hierárquicas permitem que você crie e imponha uma política de firewall consistente em toda a organização. Você pode atribuir políticas de firewall hierárquicas à organização como um todo ou a pastas individuais. Essas políticas contêm regras que podem explicitamente negar ou permitir conexões.

Você cria e aplica políticas de firewall como etapas separadas. Você pode criar e aplicar políticas de firewall nos nós de organização ou pasta da hierarquia de recursos. Uma regra de política de firewall pode bloquear conexões, permitir conexões ou adiar a avaliação da regra de firewall para pastas de níveis inferiores ou regras de firewall de VPC definidas em redes VPC.

Por padrão, todas as regras de política de firewall hierárquica se aplicam a todas as VMs em todos os projetos sob a organização ou pasta onde a política está associada. No entanto, você pode restringir quais VMs recebem uma regra específica especificando redes de destino ou contas de serviço de destino.

Você pode ler aqui como criar uma Política de Firewall Hierárquica.

Avaliação de Regras de Firewall

Org: Políticas de firewall atribuídas à Organização
Pasta: Políticas de firewall atribuídas à Pasta
VPC: Regras de firewall atribuídas à VPC
Global: Outro tipo de regras de firewall que podem ser atribuídas a VPCs
Regional: Regras de firewall associadas à rede VPC da NIC da VM e região da VM.

Interconexão de Redes VPC

Permite conectar duas redes de Cloud Privada Virtual (VPC) para que recursos em cada rede possam se comunicar entre si. As redes VPC interconectadas podem estar no mesmo projeto, em projetos diferentes da mesma organização ou em projetos diferentes de organizações diferentes.

Essas são as permissões necessárias:

compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes

Mais na documentação.

Referências

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

Se você quiser ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Verifique os PLANOS DE ASSINATURA!
Obtenha o swag oficial PEASS & HackTricks
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe seus truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

AnteriorGCP - Compute Instances SiguienteGCP - Containers, GKE & Composer Enum

Última actualización hace 2 días