AWS - VPC & Networking Basic Information

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Angalia mipango ya usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.

AWS Networking in a Nutshell

VPC ina network CIDR kama 10.0.0.0/16 (na routing table na network ACL yake).

Mtandao huu wa VPC umegawanywa katika subnetworks, kwa hivyo subnetwork inahusiana moja kwa moja na VPC, routing table na network ACL.

Kisha, Network Interface zilizowekwa kwenye huduma (kama EC2 instances) zimeunganishwa na subnetworks na security group(s).

Kwa hivyo, security group itapunguza bandari zilizofichuliwa za network interfaces zinazotumia, bila kujali subnetwork. Na network ACL itapunguza bandari zilizofichuliwa kwa mtandao mzima.

Zaidi ya hayo, ili kupata Internet, kuna mipangilio ya kuvutia ya kuangalia:

Subnetwork inaweza kujiweka kiotomatiki anwani za umma za IPv4
Instance iliyoundwa kwenye mtandao ambayo inaweka kiotomatiki anwani za IPv4 inaweza kupata moja
Internet gateway inahitaji kuunganishwa na VPC
Unaweza pia kutumia Egress-only internet gateways
Unaweza pia kuwa na NAT gateway katika private subnet ili iwezekane kuunganishwa na huduma za nje kutoka kwenye private subnet hiyo, lakini haiwezekani kuwafikia kutoka nje.
NAT gateway inaweza kuwa public (kupata internet) au private (kupata VPC nyingine)

VPC

Amazon Virtual Private Cloud (Amazon VPC) inakuwezesha kuanzisha rasilimali za AWS kwenye mtandao wa virtual ambao umeufafanua. Mtandao huu wa virtual utakuwa na subnets kadhaa, Internet Gateways za kupata Internet, ACLs, Security groups, IPs...

Subnets

Subnets husaidia kutekeleza kiwango kikubwa cha usalama. Kundi la kimantiki la rasilimali zinazofanana pia husaidia kudumisha urahisi wa usimamizi kwenye miundombinu yako.

CIDR halali ni kutoka /16 netmask hadi /28 netmask.
Subnet haiwezi kuwa katika maeneo tofauti ya upatikanaji kwa wakati mmoja.
AWS inahifadhi anwani za kwanza tatu za mwenyeji za kila subnet kwa matumizi ya ndani ya AWS: anwani ya kwanza ya mwenyeji inayotumika ni kwa router ya VPC. Anwani ya pili imehifadhiwa kwa AWS DNS na anwani ya tatu imehifadhiwa kwa matumizi ya baadaye.
Inaitwa public subnets kwa zile ambazo zina upatikanaji wa moja kwa moja wa Internet, wakati private subnets hazina.

Route Tables

Route tables huamua njia ya trafiki kwa subnet ndani ya VPC. Zinabainisha trafiki ya mtandao ambayo inapelekwa kwenye internet au kwenye muunganisho wa VPN. Kwa kawaida utapata upatikanaji wa:

Local VPC
NAT
Internet Gateways / Egress-only Internet gateways (zinahitajika kutoa VPC upatikanaji wa Internet).
Ili kufanya subnet kuwa ya umma unahitaji kuunda na kuunganisha Internet gateway kwenye VPC yako.
VPC endpoints (kupata S3 kutoka mitandao ya kibinafsi)

Katika picha zifuatazo unaweza kuangalia tofauti katika mtandao wa umma wa default na wa kibinafsi:

ACLs

Network Access Control Lists (ACLs): Network ACLs ni sheria za firewall zinazodhibiti trafiki ya mtandao inayoingia na kutoka kwenye subnet. Zinaweza kutumika kuruhusu au kukataa trafiki kwa anwani maalum za IP au safu.

Mara nyingi zaidi ni kuruhusu/kukataa upatikanaji kwa kutumia security groups, lakini hii ni njia pekee ya kukata kabisa reverse shells zilizowekwa. Sheria iliyobadilishwa katika security groups haizuii muunganisho uliowekwa tayari
Hata hivyo, hii inatumika kwa subnetwork nzima kuwa makini wakati wa kupiga marufuku vitu kwa sababu utendaji unaohitajika unaweza kuvurugwa

Security Groups

Security groups ni firewall ya virtual inayodhibiti trafiki ya mtandao inayoingia na kutoka kwa instances katika VPC. Uhusiano 1 SG kwa M instances (kawaida 1 kwa 1). Kwa kawaida hii hutumika kufungua bandari hatari katika instances, kama bandari 22 kwa mfano:

Elastic IP Addresses

Elastic IP address ni anwani ya static ya IPv4 iliyoundwa kwa ajili ya kompyuta ya wingu yenye nguvu. Elastic IP address inatolewa kwa akaunti yako ya AWS, na ni yako hadi uiachilie. Kwa kutumia Elastic IP address, unaweza kuficha kushindwa kwa instance au programu kwa haraka kubadilisha anwani kwa instance nyingine katika akaunti yako.

Connection between subnets

Kwa default, subnets zote zina kupewa kiotomatiki anwani za umma za IP zimezimwa lakini inaweza kuwashwa.

Njia ya ndani ndani ya route table inaruhusu mawasiliano kati ya subnets za VPC.

Ikiwa unafanya muunganisho wa subnet na subnet tofauti huwezi kufikia subnets zilizounganishwa na subnet nyingine, unahitaji kuunda muunganisho nao moja kwa moja. Hii pia inatumika kwa internet gateways. Huwezi kupitia muunganisho wa subnet kufikia internet, unahitaji kupeana internet gateway kwa subnet yako.

VPC Peering

VPC peering inakuwezesha kuunganisha VPC mbili au zaidi pamoja, kwa kutumia IPV4 au IPV6, kana kwamba ni sehemu ya mtandao huo huo.

Mara tu muunganisho wa rika unapoanzishwa, rasilimali katika VPC moja zinaweza kufikia rasilimali katika nyingine. Muunganisho kati ya VPCs unatekelezwa kupitia miundombinu ya mtandao ya AWS iliyopo, na hivyo ni ya upatikanaji wa juu bila kikwazo cha bandwidth. Kwa kuwa muunganisho wa rika unafanya kazi kana kwamba ni sehemu ya mtandao huo huo, kuna vizuizi linapokuja suala la safu za CIDR block zinazoweza kutumika. Ikiwa una safu za CIDR zinazofanana au zinazojirudia kwa VPC yako, basi hutaweza kuunganisha VPCs pamoja. Kila AWS VPC itawasiliana tu na rika lake. Kwa mfano, ikiwa una muunganisho wa rika kati ya VPC 1 na VPC 2, na muunganisho mwingine kati ya VPC 2 na VPC 3 kama inavyoonyeshwa, basi VPC 1 na 2 zinaweza kuwasiliana moja kwa moja, kama vile VPC 2 na VPC 3, hata hivyo, VPC 1 na VPC 3 haziwezi. Huwezi kupitia VPC moja kufikia nyingine.

VPC Flow Logs

Ndani ya VPC yako, unaweza kuwa na rasilimali mamia au hata maelfu zinazowasiliana kati ya subnets tofauti zote za umma na za kibinafsi na pia kati ya VPC tofauti kupitia muunganisho wa VPC peering. VPC Flow Logs inakuwezesha kunasa taarifa za trafiki ya IP inayopita kati ya network interfaces za rasilimali zako ndani ya VPC yako.

Tofauti na S3 access logs na CloudFront access logs, data ya logi inayozalishwa na VPC Flow Logs haijahifadhiwa kwenye S3. Badala yake, data ya logi iliyokamatwa inatumwa kwa CloudWatch logs.

Vikwazo:

Ikiwa unaendesha muunganisho wa VPC peered, basi utaweza kuona tu flow logs za VPCs peered ambazo ziko ndani ya akaunti moja.
Ikiwa bado unaendesha rasilimali ndani ya mazingira ya EC2-Classic, basi kwa bahati mbaya huwezi kupata taarifa kutoka kwa interfaces zao
Mara tu VPC Flow Log inapoundwa, haiwezi kubadilishwa. Ili kubadilisha usanidi wa VPC Flow Log, unahitaji kuifuta na kisha kuunda mpya.
Trafiki ifuatayo haifuatiliwi na kunaswa na logi. Trafiki ya DHCP ndani ya VPC, trafiki kutoka instances inayolenga Amazon DNS Server.
Trafiki yoyote inayolenga anwani ya IP kwa router ya default ya VPC na trafiki kwenda na kutoka kwa anwani zifuatazo, 169.254.169.254 ambayo inatumika kwa kukusanya metadata ya instance, na 169.254.169.123 ambayo inatumika kwa Amazon Time Sync Service.
Trafiki inayohusiana na leseni ya uanzishaji wa Amazon Windows kutoka kwa instance ya Windows
Trafiki kati ya network load balancer interface na endpoint network interface

Kwa kila network interface inayochapisha data kwa CloudWatch log group, itatumia log stream tofauti. Na ndani ya kila moja ya streams hizi, kutakuwa na data ya tukio la flow log inayoonyesha maudhui ya entries za log. Kila moja ya logi hizi inakamata data wakati wa dirisha la takriban dakika 10 hadi 15.

VPN

Basic AWS VPN Components

Customer Gateway:

Customer Gateway ni rasilimali unayounda katika AWS kuwakilisha upande wako wa muunganisho wa VPN.
Kimsingi ni kifaa cha kimwili au programu kwenye upande wako wa muunganisho wa Site-to-Site VPN.
Unatoa taarifa za routing na anwani ya umma ya kifaa chako cha mtandao (kama router au firewall) kwa AWS kuunda Customer Gateway.
Inatumika kama sehemu ya kumbukumbu ya kuanzisha muunganisho wa VPN na haina gharama za ziada.

Virtual Private Gateway:

Virtual Private Gateway (VPG) ni mkusanyiko wa VPN upande wa Amazon wa muunganisho wa Site-to-Site VPN.
Imeunganishwa na VPC yako na inatumika kama lengo la muunganisho wako wa VPN.
VPG ni endpoint ya upande wa AWS kwa muunganisho wa VPN.
Inashughulikia mawasiliano salama kati ya VPC yako na mtandao wako wa ndani.

Site-to-Site VPN Connection:

Muunganisho wa Site-to-Site VPN unaunganisha mtandao wako wa ndani na VPC kupitia tunnel ya VPN ya IPsec salama.
Aina hii ya muunganisho inahitaji Customer Gateway na Virtual Private Gateway.
Inatumika kwa mawasiliano salama, thabiti, na ya mara kwa mara kati ya kituo chako cha data au mtandao na mazingira yako ya AWS.
Kwa kawaida hutumika kwa muunganisho wa kawaida, wa muda mrefu na unatozwa kulingana na kiasi cha data kinachohamishwa kupitia muunganisho.

Client VPN Endpoint:

Client VPN endpoint ni rasilimali unayounda katika AWS kuwezesha na kudhibiti sessions za VPN za mteja.
Inatumika kuruhusu vifaa binafsi (kama laptops, smartphones, nk) kuunganishwa salama na rasilimali za AWS au mtandao wako wa ndani.
Inatofautiana na Site-to-Site VPN kwa kuwa imeundwa kwa ajili ya wateja binafsi badala ya kuunganisha mitandao yote.
Kwa Client VPN, kila kifaa cha mteja kinatumia programu ya mteja wa VPN kuanzisha muunganisho salama.

Site-to-Site VPN

Unganisha mtandao wako wa ndani na VPC yako.

VPN connection: Muunganisho salama kati ya vifaa vyako vya ndani na VPC zako.
VPN tunnel: Kiungo kilichosimbwa ambacho data inaweza kupita kutoka mtandao wa mteja kwenda au kutoka AWS.

Kila muunganisho wa VPN unajumuisha tunnels mbili za VPN ambazo unaweza kuzitumia kwa wakati mmoja kwa upatikanaji wa juu.

Customer gateway: Rasilimali ya AWS inayotoa taarifa kwa AWS kuhusu kifaa chako cha customer gateway.
Customer gateway device: Kifaa cha kimwili au programu kwenye upande wako wa muunganisho wa Site-to-Site VPN.
Virtual private gateway: Mkusanyiko wa VPN upande wa Amazon wa muunganisho wa Site-to-Site VPN. Unatumia virtual private gateway au transit gateway kama gateway kwa upande wa Amazon wa muunganisho wa Site-to-Site VPN.
Transit gateway: Kituo cha usafiri kinachoweza kutumika kuunganisha VPC zako na mitandao ya ndani. Unatumia transit gateway au virtual private gateway kama gateway kwa upande wa Amazon wa muunganisho wa Site-to-Site VPN.

Limitations

Trafiki ya IPv6 haijaungwa mkono kwa muunganisho wa VPN kwenye virtual private gateway.
Muunganisho wa VPN wa AWS hauungi mkono Path MTU Discovery.

Zaidi ya hayo, zingatia yafuatayo unapotumia Site-to-Site VPN.

Unapounganisha VPC zako na mtandao wa kawaida wa ndani, tunapendekeza utumie CIDR blocks zisizofanana kwa mitandao yako.

Client VPN

Unganisha kutoka kwa mashine yako hadi VPC yako

Concepts

Client VPN endpoint: Rasilimali unayounda na kusanidi kuwezesha na kudhibiti sessions za VPN

PreviousAWS - Nitro Enum NextAWS - ECR Enum

Last updated 1 month ago