Swahili - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

AWS - VPC & Networking Basic Information

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Uunganishaji wa AWS kwa Kifupi

VPC ina CIDR ya mtandao kama 10.0.0.0/16 (na meza yake ya uhamishaji na ACL ya mtandao).

Mtandao huu wa VPC umegawanywa katika sub-mitandao, hivyo sub-mtandao una uunganisho wa moja kwa moja na VPC, meza ya uhamishaji na ACL ya mtandao.

Kisha, Interface ya Mtandao iliyowekwa kwenye huduma (kama mifano ya EC2) ina unganishwa na sub-mitandao na kikundi cha usalama.

Hivyo, kikundi cha usalama kitapunguza bandari zilizofichuliwa za interfaces za mtandao zinazotumia, bila kujali sub-mtandao. Na ACL ya mtandao itapunguza bandari zilizofichuliwa kwa mtandao wote.

Zaidi ya hayo, ili kufikia Mtandao, kuna mipangilio ya kuvutia ya kuangalia:

  • Sub-mtandao inaweza kujipatia moja kwa moja anwani za IPv4 za umma

  • Kifaa kilichoundwa kwenye mtandao ambao unajipatia moja kwa moja anwani za IPv4 inaweza kupata moja

  • Geti la Mtandao linahitaji kuwa limeunganishwa na VPC

  • Unaweza pia kutumia Geti la Mtandao la Kutoka-nje tu

  • Unaweza pia kuwa na Geti la NAT katika sub-mtandao wa faragha hivyo ni rahisi kuunganisha huduma za nje kutoka kwa sub-mtandao huo wa faragha, lakini si rahisi kufikia kutoka nje.

  • Geti la NAT linaweza kuwa la umma (kufikia mtandao) au la faragha (kufikia VPC nyingine)

VPC

Virtual Private Cloud ya Amazon (Amazon VPC) inakuwezesha kuzindua rasilimali za AWS kwenye mtandao wa kubunifu ambao umefafanuliwa. Mtandao huu wa kubunifu utakuwa na sub-mitandao kadhaa, Geti za Mtandao kufikia Mtandao, ACLs, Vikundi vya Usalama, IPs...

Sub-mitandao

Sub-mitandao husaidia kutekeleza kiwango kikubwa cha usalama. Kikundi la mantiki la rasilimali zinazofanana pia husaidia katika kudumisha urahisi wa usimamizi kote miundombinu yako.

  • CIDR halali ni kutoka kwa netmask ya /16 hadi netmask ya /28.

  • Sub-mtandao hauwezi kuwa katika maeneo tofauti ya upatikanaji wakati huo huo.

  • AWS inahifadhi anwani tatu za IP za mwenyeji wa kwanza wa kila sub-mtandao kwa matumizi ya ndani ya AWS: anwani ya kwanza ya mwenyeji inayotumiwa ni kwa router ya VPC. Anwani ya pili inahifadhiwa kwa DNS ya AWS na anwani ya tatu inahifadhiwa kwa matumizi ya baadaye.

  • Inaitwa sub-mitandao ya umma wale ambao wana upatikanaji wa moja kwa moja kwenye Mtandao, wakati sub-mitandao za faragha hawana.

Meza za Uhamishaji

Meza za uhamishaji hupanga uhamishaji wa trafiki kwa sub-mtandao ndani ya VPC. Zinabainisha ni trafiki gani ya mtandao inayopelekwa kwenye mtandao au kwenye uunganisho wa VPN. Kwa kawaida utapata upatikanaji wa:

  • VPC ya Ndani

  • NAT

  • Geti la Mtandao la Mtandao / Geti la Mtandao la Kutoka-nje tu (inahitajika kumpa VPC upatikanaji wa Mtandao).

  • Ili kufanya sub-mtandao kuwa wa umma unahitaji kuunda na kuunganisha geti la mtandao kwenye VPC yako.

  • Vipindi vya VPC (kufikia S3 kutoka kwa mitandao ya faragha)

Katika picha zifuatazo unaweza kuangalia tofauti katika mtandao wa umma wa kawaida na wa faragha:

ACLs

Majedwali ya Kudhibiti Upatikanaji wa Mtandao (ACLs): ACLs za Mtandao ni sheria za firewall ambazo zinadhibiti trafiki ya mtandao ya kuingia na kutoka kwa sub-mtandao. Zinaweza kutumika kuruhusu au kukataa trafiki kwa anwani au safu maalum za IP.

  • Mara nyingi ni kawaida kuruhusu/kukataa upatikanaji kwa kutumia vikundi vya usalama, lakini hii ni njia pekee ya kukata kabisa mizunguko iliyowekwa. Kanuni iliyobadilishwa katika vikundi vya usalama haikomi mizunguko iliyowekwa tayari

  • Hata hivyo, hii inatumika kwa sub-mtandao nzima kuwa makini wakati wa kupiga marufuku vitu kwa sababu utendaji muhimu unaweza kusumbuliwa

Vikundi vya Usalama

Vikundi vya usalama ni firewall ya kisasa inayodhibiti trafiki ya kuingia na kutoka kwa mifano katika VPC. Uhusiano 1 SG kwa M mifano (kawaida 1 kwa 1). Kawaida hii hutumiwa kufungua bandari hatari kwenye mifano, kama vile bandari 22 kwa mfano:

Anwani za IP Elastic

Anwani ya IP Elastic ni anwani ya IPv4 ya static iliyoundwa kwa kompyuta ya wingu ya kudumu. Anwani ya IP Elastic inatengwa kwa akaunti yako ya AWS, na ni yako hadi utakapoiachilia. Kwa kutumia anwani ya IP Elastic, unaweza kuficha kushindwa kwa mfano au programu kwa haraka kwa kubadilisha upya anwani kwa mfano mwingine katika akaunti yako.

Uunganisho kati ya subneti

Kwa chaguo-msingi, subneti zote zina kupewa moja kwa moja anwani za IP za umma zimezimwa lakini inaweza kuwasha.

Njia ya ndani ndani ya meza ya njia inawezesha mawasiliano kati ya subneti za VPC.

Ikiwa unach unganisha subneti na subneti tofauti huwezi kupata upatikanaji wa subneti zilizounganishwa na subneti nyingine, unahitaji kuunda uhusiano nao moja kwa moja. Hii pia inatumika kwa malango ya mtandao. Huwezi kupitia uhusiano wa subneti kupata intaneti, unahitaji kumtambulisha malango ya intaneti kwa subneti yako.

Peering ya VPC

Peering ya VPC inakuruhusu kuunganisha VPC mbili au zaidi pamoja, ukitumia IPV4 au IPV6, kana kwamba zilikuwa sehemu ya mtandao mmoja.

Marape ya ushirikiano yanapowekwa, rasilimali katika VPC moja inaweza kupata rasilimali katika nyingine. Uunganisho kati ya VPC unatekelezwa kupitia miundombinu ya mtandao ya AWS iliyopo, na kwa hivyo inapatikana sana bila kizuizi cha upana wa picha. Kwa kuwa mawasiliano ya peered yanafanya kazi kana kwamba zilikuwa sehemu ya mtandao mmoja, kuna vizuizi linapokuja suala la safu zako za CIDR zinazoweza kutumika. Ikiwa una safu za CIDR zinazolingana au zinazofanana kwa VPC yako, basi hutaweza kupeera VPCs pamoja. Kila AWS VPC ita mawasiliano tu na mwenzake. Kwa mfano, ikiwa una uhusiano wa peering kati ya VPC 1 na VPC 2, na uhusiano mwingine kati ya VPC 2 na VPC 3 kama inavyoonyeshwa, basi VPC 1 na 2 wangeweza kuzungumza moja kwa moja, kama vile VPC 2 na VPC 3, hata hivyo, VPC 1 na VPC 3 hawangeweza. Huwezi kupitia VPC moja kwenda nyingine.

Vipimo vya Mvuke wa VPC

Ndani ya VPC yako, unaweza kuwa na mamia au hata maelfu ya rasilimali zinazoshirikiana kati ya subneti tofauti za umma na za kibinafsi na pia kati ya VPC tofauti kupitia uhusiano wa peering wa VPC. Vipimo vya Mvuke wa VPC vinakuruhusu kukamata habari ya trafiki ya IP inayopita kati ya interface za mtandao wa rasilimali zako ndani ya VPC yako.

Tofauti na vipimo vya ufikiaji wa S3 na vipimo vya ufikiaji wa CloudFront, data ya kuingia iliyozalishwa na Vipimo vya Mvuke wa VPC haistahiliwa kuhifadhiwa katika S3. Badala yake, data ya kuingia iliyokamatwa inatumwa kwa vipimo vya CloudWatch.

Vikwazo:

  • Ikiwa unaendesha uhusiano wa peering wa VPC, basi utaweza kuona vipimo vya mvuke vya VPC vya VPC vilivyo katika akaunti moja.

  • Ikiwa bado unaendesha rasilimali ndani ya mazingira ya EC2-Classic, basi kwa bahati mbaya huwezi kupata habari kutoka kwa interface zao

  • Mara Vipimo vya Mvuke wa VPC vinapoundwa, haviwezi kubadilishwa. Ili kubadilisha usanidi wa Vipimo vya Mvuke wa VPC, unahitaji kufuta na kisha kuunda upya mpya.

  • Trafiki ifuatayo haifuatiliwi na kukamatwa na vipimo. Trafiki ya DHCP ndani ya VPC, trafiki kutoka kwa mifano iliyolengwa kwa Seva ya DNS ya Amazon.

  • Trafiki yoyote inayolenga anwani ya IP kwa router ya chaguo-msingi ya VPC na trafiki kwa na kutoka kwa anwani zifuatazo, 169.254.169.254 ambayo hutumiwa kukusanya metadata ya mfano, na 169.254.169.123 ambayo hutumiwa kwa Huduma ya Usawazishaji wa Wakati wa Amazon.

  • Trafiki inayohusiana na leseni ya uanzishaji wa Windows ya Amazon kutoka kwa mfano wa Windows

  • Trafiki kati ya interface ya balansa ya mzigo wa mtandao na interface ya mtandao ya mwisho

Kwa kila interface ya mtandao inayochapisha data kwa kikundi cha kuingia cha CloudWatch, itatumia mtiririko tofauti wa kuingia. Na ndani ya kila moja ya haya mtiririko, kutakuwa na data ya tukio la vipimo vya mvuke inayoonyesha maudhui ya kuingia ya kuingia. Kila moja ya vipimo hivi hukamata data wakati wa dirisha la takriban dakika 10 hadi 15.

VPN

Vipengele vya Msingi vya VPN ya AWS

  1. Malango ya Wateja:

  • Lango la Wateja ni rasilimali unayounda katika AWS kuwakilisha upande wako wa uhusiano wa VPN.

  • Kimsingi ni kifaa halisi au programu kwenye upande wako wa uhusiano wa VPN wa Kutoka-Site.

  • Unatoa habari ya njia na anwani ya IP ya umma ya kifaa chako cha mtandao (kama router au firewall) kwa AWS kuunda Lango la Wateja.

  • Inatumika kama alama ya kumbukumbu ya kuweka uhusiano wa VPN na haina gharama za ziada.

  1. Lango la Kibinafsi cha Virtual:

  • Lango la Kibinafsi cha Virtual (VPG) ni kikusanyaji wa VPN upande wa Amazon wa uhusiano wa Kutoka-Site.

  • Imeambatishwa na VPC yako na hutumikia kama lengo la uhusiano wako wa VPN.

  • VPG ni mwisho wa AWS wa uhusiano wa VPN.

  • Inashughulikia mawasiliano salama kati ya VPC yako na mtandao wako wa ndani.

  1. Uhusiano wa VPN wa Kutoka-Site:

  • Uhusiano wa VPN wa Kutoka-Site unauunganisha mtandao wako wa ndani na VPC kupitia handaki salama la VPN la IPsec.

  • Aina hii ya uhusiano inahitaji Lango la Wateja na Lango la Kibinafsi cha Virtual.

  • Inatumika kwa mawasiliano salama, thabiti, na thabiti kati ya kituo chako cha data au mtandao na mazingira yako ya AWS.

  • Kawaida hutumiwa kwa mawasiliano ya kawaida, ya muda mrefu na inalipwa kulingana na kiasi cha data kinachohamishwa kupitia uhusiano.

  1. Mwisho wa Wateja wa VPN:

  • Mwisho wa Wateja wa VPN ni rasilimali unayounda katika AWS kuruhusu na kusimamia vikao vya VPN vya wateja.

  • Inatumika kuruhusu vifaa binafsi (kama vile kompyuta za mkononi, simu za mkononi, nk.) kuunganisha kwa usalama kwa rasilimali za AWS au mtandao wako wa ndani.

  • Inatofautiana na VPN ya Kutoka-Site kwa kuwa imeundwa kwa wateja binafsi badala ya kuunganisha mitandao nzima.

  • Na VPN ya Mteja, kila kifaa cha mteja hutumia programu ya mteja wa VPN kuweka uhusiano salama.

Uhusiano wa VPN wa Kutoka-Site

Unaweza kuunganisha mtandao wako wa ndani na VPC yako.

  • Uhusiano wa VPN: Uhusiano salama kati ya vifaa vyako vya ndani na VPC yako.

  • Handaki la VPN: Kiunga kilichofichwa ambapo data inaweza kupita kutoka kwa mtandao wa mteja kwenda au kutoka AWS.

Kila uhusiano wa VPN unajumuisha viunga viwili vya VPN ambavyo unaweza kutumia kwa wakati mmoja kwa upatikanaji wa juu.

  • Lango la wateja: Rasilimali ya AWS inayotoa habari kwa AWS kuhusu kifaa chako cha lango la wateja.

  • Kifaa cha lango la wateja: Kifaa halisi au programu kwenye upande wako wa uhusiano wa VPN wa Kutoka-Site.

  • Lango la kibinafsi cha virtual: Kikusanyaji cha VPN upande wa Amazon wa uhusiano wa Kutoka-Site. Unatumia lango la kibinafsi la virtual au lango la kupitisha kama lango la upande wa Amazon wa uhusiano wa VPN wa Kutoka-Site.

Vizuizi

  • Trafiki ya IPv6 haitegemezwi kwa miunganisho ya VPN kwenye lango la faragha la kimagharibi.

  • Miunganisho ya VPN ya AWS haiungi mkono Ugunduzi wa Path MTU.

Kwa kuongezea, chukua yafuatayo ukiwa unatumia VPN ya Kutoka-Site hadi-Site.

  • Unapounganisha VPC yako na mtandao wa kawaida wa ndani, tunapendekeza utumie vitalu vya CIDR visivyolingana kwa mitandao yako.

VPN ya Mteja

Unaweza kuunganisha kutoka kwa mashine yako hadi VPC yako

Dhana

  • Mwisho wa VPN ya Mteja: Rasimu unayounda na kusanidi kuwezesha na kusimamia vikao vya VPN vya mteja. Ni rasilimali ambapo vikao vyote vya VPN vya mteja vinamalizika.

  • Mtandao wa lengo: Mtandao wa lengo ni mtandao unaoambatisha na Mwisho wa VPN ya Mteja. Subnet kutoka kwa VPC ni mtandao wa lengo. Kuambatisha subnet na Mwisho wa VPN ya Mteja kunakuwezesha kuweka vikao vya VPN. Unaweza kuambatisha subnets kadhaa na Mwisho wa VPN ya Mteja kwa upatikanaji wa juu. Subnets zote lazima ziwe kutoka kwa VPC moja. Kila subnet lazima iwe katika Eneo la Upatikanaji tofauti.

  • Njia: Kila Mwisho wa VPN ya Mteja una jedwali la njia linaloelezea njia zilizopo za mtandao wa marudio. Kila njia katika jedwali la njia inaelezea njia ya trafiki kwa rasilimali au mitandao maalum.

  • Miongozo ya idhini: Miongozo ya idhini inazuia watumiaji wanaoweza kufikia mtandao. Kwa mtandao uliowekwa, unasanidi kikundi cha Active Directory au mtoa huduma wa kitambulisho (IdP) ambao wanaruhusiwa kupata. Watumiaji wanaopatikana kwa kikundi hiki tu wanaweza kupata mtandao uliowekwa. Kwa chaguo-msingi, hakuna miongozo ya idhini na lazima usanidi miongozo ya idhini kuwezesha watumiaji kupata rasilimali na mitandao.

  • Mteja: Mtumiaji anayeunganisha kwenye Mwisho wa VPN ya Mteja kuanzisha kikao cha VPN. Watumiaji wa mwisho wanahitaji kupakua mteja wa OpenVPN na kutumia faili ya usanidi wa Mwisho wa VPN ya Mteja uliyounda kuanzisha kikao cha VPN.

  • Upeo wa CIDR wa Mteja: Safu ya anwani ya IP ambayo itapewa anwani za IP za mteja. Kila uhusiano kwa Mwisho wa VPN ya Mteja unapewa anwani ya IP ya kipekee kutoka kwa upeo wa CIDR wa mteja. Unachagua upeo wa CIDR wa mteja, kwa mfano, 10.2.0.0/16.

  • Bandari za VPN ya Mteja: AWS Client VPN inasaidia bandari 443 na 1194 kwa TCP na UDP. Chaguo-msingi ni bandari 443.

  • Interface za mtandao wa VPN ya Mteja: Unapoambatisha subnet na Mwisho wa VPN ya Mteja, tunajenga interface za mtandao wa VPN ya Mteja katika subnet hiyo. Trafiki inayotumwa kwa VPC kutoka kwa Mwisho wa VPN ya Mteja inatumwa kupitia interface ya mtandao wa VPN ya Mteja. Ubadilishaji wa anwani ya mtandao wa asili (SNAT) unatumika, ambapo anwani ya IP ya asili kutoka kwa upeo wa CIDR wa mteja inabadilishwa kuwa anwani ya IP ya interface ya mtandao wa VPN ya Mteja.

  • Kuingiza kwa uhusiano: Unaweza kuwezesha kuingiza kwa uhusiano kwa Mwisho wa VPN ya Mteja ili kuingiza matukio ya uhusiano. Unaweza kutumia habari hii kufanya uchunguzi wa kisayansi, kuchambua jinsi Mwisho wa VPN ya Mteja unavyotumiwa, au kutatua matatizo ya uhusiano.

  • Lango la huduma binafsi: Unaweza kuwezesha lango la huduma binafsi kwa Mwisho wa VPN ya Mteja. Wateja wanaweza kuingia kwenye lango la wavuti kwa kutumia sifa zao na kupakua toleo la karibuni la faili ya usanidi ya Mwisho wa VPN ya Mteja, au toleo la karibuni la mteja uliotolewa na AWS.

Vizuizi

  • Vipimo vya CIDR vya Mteja haviwezi kufanana na CIDR ya eneo ya VPC ambayo subnet inayohusishwa iko, au njia yoyote iliyowekwa kwa mkono kwenye jedwali la njia la Mwisho wa VPN ya Mteja.

  • Vipimo vya CIDR vya Mteja lazima viwe na saizi ya angalau /22 na lazima visizidi /12.

  • Sehemu ya anwani katika upeo wa CIDR wa mteja hutumiwa kusaidia mfano wa upatikanaji wa Mwisho wa VPN ya Mteja, na haziwezi kutengwa kwa wateja. Kwa hivyo, tunapendekeza utoe kibali cha CIDR ambacho kina mara mbili idadi ya anwani za IP zinazohitajika kuwezesha idadi kubwa ya uhusiano wa wakati mmoja unapanga kusaidia kwenye Mwisho wa VPN ya Mteja.

  • Upeo wa CIDR wa mteja hauwezi kubadilishwa baada ya kuunda Mwisho wa VPN ya Mteja.

  • Subnets zilizoambatishwa na Mwisho wa VPN ya Mteja lazima ziwe katika VPC moja.

  • Hauwezi kuambatisha subnets kadhaa kutoka kwa Eneo la Upatikanaji moja na Mwisho wa VPN ya Mteja.

  • Mwisho wa VPN ya Mteja hausaidii uhusiano wa subnets katika VPC ya kukodisha kwa kujitolea.

  • VPN ya Mteja inaunga mkono trafiki ya IPv4 pekee.

  • VPN ya Mteja si inayofuata Viwango vya Usindikaji wa Habari vya Shirikisho (FIPS).

  • Ikiwa uthibitishaji wa hatua nyingi (MFA) umefungwa kwa Active Directory yako, nywila ya mtumiaji haiwezi kuwa katika muundo ufuatao.

SCRV1:<kamba_iliyofungwa_kwa_base64>:<kamba_iliyofungwa_kwa_base64>

  • Lango la huduma binafsi halipatikani kwa wateja wanaothibitisha kwa kutumia uthibitishaji wa pande zote.

PreviousAWS - Nitro EnumNextAWS - ECR Enum

Last updated