Az - Azure Network

Jifunze na kufanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na kufanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Angalia mipango ya usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwenye HackTricks na HackTricks Cloud github repos.

Taarifa za Msingi

Mitandao ndani ya Azure inafanya kazi kama sehemu muhimu ya jukwaa lake la kompyuta ya wingu, kuwezesha muunganisho na mawasiliano kati ya huduma na rasilimali mbalimbali za Azure. Usanifu wa mtandao katika Azure umeundwa kuwa wa kiwango kikubwa, salama, na unaoweza kubadilishwa.

Katika msingi wake, Azure inatoa virtual network (VNet) ambayo inaruhusu watumiaji kuunda mitandao iliyotengwa ndani ya wingu la Azure. Ndani ya VNets hizi, rasilimali kama mashine za kawaida, programu, na hifadhidata zinaweza kuwa mwenyeji na kusimamiwa kwa usalama. Mtandao katika Azure unasaidia mawasiliano ndani ya wingu (kati ya huduma za Azure) na muunganisho na mitandao ya nje na mtandao wa intaneti.

Usalama ni kipengele muhimu cha mtandao wa Azure, na zana na huduma mbalimbali zinapatikana kwa ajili ya kulinda data, kusimamia upatikanaji, na kuhakikisha kufuata sheria. Hatua hizi za usalama ni pamoja na firewalls, vikundi vya usalama wa mtandao, na uwezo wa usimbaji, kuruhusu kiwango cha juu cha udhibiti wa trafiki na upatikanaji.

Kwa ujumla, uwezo wa mtandao wa Azure umeundwa kutoa kubadilika, kuruhusu watumiaji kuunda mazingira ya mtandao yanayofaa mahitaji yao maalum ya programu na mzigo wa kazi huku wakizingatia sana usalama na uaminifu.

Virtual Network (VNET) & Subnets

VNet katika Azure kimsingi ni uwakilishi wa mtandao wako mwenyewe katika wingu. Ni kutengwa kwa kimantiki kwa wingu la Azure lililowekwa kwa usajili wako. VNet inakuruhusu kutoa na kusimamia mitandao ya kibinafsi ya kawaida (VPNs) katika Azure na inaweza kutumika kuwa mwenyeji na kusimamia aina mbalimbali za rasilimali za Azure, kama vile Virtual Machines (VMs), hifadhidata, na huduma za programu.

VNets zinakupa udhibiti kamili wa mipangilio ya mtandao wako, ikiwa ni pamoja na anwani za IP anuwai, uundaji wa subnet, meza za njia, na milango ya mtandao.

Subnet ni anuwai ya anwani za IP katika VNet yako. Unaweza kugawanya VNet kuwa subnets nyingi kwa ajili ya shirika na usalama. Kila subnet katika VNet inaweza kutumika kutenga na kuunda rasilimali kulingana na usanifu wa mtandao na programu yako.

Zaidi ya hayo, subnets zinakuruhusu kugawanya VNet yako kuwa mitandao midogo zaidi, kutoa anuwai ya anwani za IP ambazo rasilimali zinaweza kutumia.

Mfano

Tuseme una VNet inayoitwa MyVNet yenye anuwai ya anwani za IP 10.0.0.0/16. Unaweza kuunda subnet ndani ya VNet hii, tuseme Subnet-1, yenye anuwai ya anwani za IP 10.0.0.0/24 kwa ajili ya kuwa mwenyeji wa seva zako za wavuti. Subnet nyingine, Subnet-2 yenye anuwai ya 10.0.1.0/24, inaweza kutumika kwa ajili ya seva zako za hifadhidata. Mgawanyo huu unaruhusu usimamizi mzuri na udhibiti wa usalama ndani ya mtandao.

Uorodheshaji

Ili kuorodhesha VNets na subnets zote katika akaunti ya Azure, unaweza kutumia Azure Command-Line Interface (CLI). Hapa kuna hatua:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

Network Security Groups (NSG)

Katika Azure, Network Security Group (NSG) ina jukumu kuu la kuchuja trafiki ya mtandao kwenda na kutoka kwa rasilimali za Azure ndani ya Azure Virtual Network (VNet). Inayo seti ya kanuni za usalama ambazo zinaelekeza kwa makini mtiririko wa trafiki ya mtandao.

Vipengele muhimu vya NSG ni pamoja na:

Udhibiti wa Trafiki: Kila NSG ina kanuni ambazo ni muhimu katika kuruhusu au kuzuia trafiki ya mtandao inayoingia na kutoka inayohusiana na rasilimali mbalimbali za Azure.
Vipengele vya Kanuni: Kanuni ndani ya NSG ni maalum sana, zikichuja trafiki kulingana na vigezo kama anwani ya IP ya chanzo/kusudi, bandari, na itifaki. Umaalumu huu unaruhusu usimamizi wa kina wa trafiki ya mtandao.
Kuimarisha Usalama: Kwa kuhakikisha kuwa ni trafiki iliyoidhinishwa pekee inayoweza kuingia au kutoka kwa rasilimali zako za Azure, NSGs zina jukumu muhimu katika kuimarisha hali ya usalama ya miundombinu yako ya mtandao.

Mfano

Fikiria una NSG inayoitwa MyNSG iliyotumika kwenye subnet au mashine halisi maalum ndani ya VNet yako. Unaweza kuunda kanuni kama:
Kanuni ya kuingiza inayoruhusu trafiki ya HTTP (bandari 80) kutoka chanzo chochote kwenda kwa seva zako za wavuti.
Kanuni ya kutoa inayoruhusu tu trafiki ya SQL (bandari 1433) kwenda kwa anuwai maalum ya anwani za IP za kusudi.

Enumeration

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

Azure Firewall

Azure Firewall ni huduma ya usalama wa mtandao inayosimamiwa, inayotegemea wingu ambayo inalinda rasilimali zako za Azure Virtual Network. Ni firewall kamili ya hali kama huduma yenye vipengele vya upatikanaji wa juu na upanuzi vilivyojengewa ndani.

Azure Firewall inatoa vipengele vya juu zaidi kuliko NSGs, ikiwa ni pamoja na uchujaji wa kiwango cha programu, uchujaji wa kiwango cha mtandao, uchujaji unaotegemea ujasusi wa vitisho, na ujumuishaji na Azure Monitor kwa ajili ya kumbukumbu na uchanganuzi. Inaweza kuchuja trafiki ya nje, ya ndani, ya spoke-to-spoke, VPN, na ExpressRoute. Sheria za firewall zinaweza kuundwa kulingana na FQDN (Fully Qualified Domain Name), anwani za IP, na bandari.

Tofauti kati ya Azure Firewall na NSGs

Wigo:

NSG: Inafanya kazi kwenye kiwango cha subnet au interface ya mtandao. Inakusudiwa kutoa uchujaji wa msingi wa trafiki ya ndani na nje kutoka kwa interfaces za mtandao (NIC), VMs, au subnets.
Azure Firewall: Inafanya kazi kwenye kiwango cha VNet, ikitoa wigo mpana wa ulinzi. Imeundwa kulinda rasilimali zako za mtandao wa virtual na kudhibiti trafiki inayotiririka ndani na nje ya VNet.

Uwezo:

NSG: Inatoa uwezo wa msingi wa uchujaji kulingana na anwani ya IP, bandari, na itifaki. Haiungi mkono vipengele vya juu kama ukaguzi wa kiwango cha programu au ujasusi wa vitisho.
Azure Firewall: Inatoa vipengele vya juu kama uchujaji wa trafiki wa kiwango cha programu (Layer 7), uchujaji unaotegemea ujasusi wa vitisho, uchujaji wa trafiki ya mtandao, na zaidi. Pia inaunga mkono anwani nyingi za IP za umma.

Matumizi:

NSG: Inafaa kwa uchujaji wa msingi wa trafiki ya kiwango cha mtandao.
Azure Firewall: Inafaa kwa hali ngumu zaidi za uchujaji ambapo udhibiti wa kiwango cha programu, kumbukumbu, na ujasusi wa vitisho unahitajika.

Usimamizi na Ufuatiliaji:

NSG: Inatoa kumbukumbu za msingi na ujumuishaji na Azure Monitor.
Azure Firewall: Inatoa uwezo wa juu wa kumbukumbu na uchanganuzi kupitia Azure Monitor, ambayo ni muhimu kwa kuelewa asili na muundo wa trafiki.

Enumeration

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

Network Virtual Appliance (NVA)

A Network Virtual Appliance (NVA) in Azure ni kifaa pepe ambacho hufanya kazi za mtandao ndani ya mtandao wa kawaida. NVAs hutumika kwa kawaida kwa kazi za mtandao ambazo hazipatikani kiasili katika Azure au wakati ubinafsishaji zaidi unahitajika. Kimsingi ni VMs zinazoendesha programu au huduma za mtandao, kama vile firewalls, WAN optimizers, au load balancers.

NVAs hutumika kwa kazi ngumu za routing, usalama, na usimamizi wa trafiki ya mtandao. Zinaweza kupelekwa kutoka Azure Marketplace, ambapo wauzaji wengi wa tatu hutoa vifaa vyao tayari kwa kuunganishwa katika mazingira ya Azure.

Mfano

Shirika linaweza kupeleka NVA katika Azure kuunda suluhisho maalum la firewall. NVA hii inaweza kuendesha programu ya firewall ya mtu wa tatu, ikitoa vipengele vya juu kama vile kugundua uvamizi, ukaguzi wa pakiti, au muunganisho wa VPN. NVA inaweza kusanidiwa kukagua na kuchuja trafiki inayopita, kuhakikisha hatua za usalama zilizoboreshwa zipo kulingana na sera za shirika.

Enumeration

# Usually NVAs are named or tagged in a way to distinguish them from other VMs
az vm list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# For a specific VM identified as an NVA, list its network interfaces
az vm nic list --vm-name <VMName> --resource-group <ResourceGroupName> --query "[].{id:id}" -o table

Azure Route Tables & User Defined Routes (UDR)

Azure Route Tables ni kipengele ndani ya Microsoft Azure kinachoruhusu udhibiti wa uelekezaji wa trafiki ya mtandao ndani ya Azure Virtual Networks (VNets). Kimsingi, zinaeleza jinsi paketi zinavyopaswa kupelekwa kati ya subnets ndani ya VNets, kati ya VNets, au kwa mitandao ya nje. Kila jedwali la njia lina seti ya sheria, zinazojulikana kama njia, ambazo zinaeleza jinsi paketi zinavyopaswa kuelekezwa kulingana na anwani zao za IP za marudio.

User Defined Routes (UDR) katika Azure ni njia maalum unazounda ndani ya Azure Route Tables kudhibiti mtiririko wa trafiki ya mtandao ndani na kati ya Azure Virtual Networks (VNets), na kwa miunganisho ya nje. UDRs zinakupa kubadilika kuongoza trafiki ya mtandao kulingana na mahitaji yako maalum, kupuuza maamuzi ya uelekezaji ya chaguo-msingi ya Azure.

Njia hizi ni muhimu hasa kwa hali ambapo unahitaji kupeleka trafiki kupitia kifaa cha mtandao cha virtual, kutekeleza njia maalum kwa usalama au kufuata sera, au kuunganisha na mitandao ya ndani.

Mfano

Tuseme umeweka Network Virtual Appliance (NVA) kwa ajili ya kukagua trafiki kati ya subnets ndani ya VNet. Unaweza kuunda UDR inayodhibiti trafiki yote kutoka subnet moja kwenda subnet nyingine kupitia NVA. UDR hii inahakikisha kuwa NVA inakagua trafiki kwa madhumuni ya usalama kabla haijafika kwenye marudio yake.

Enumeration

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List UDRs for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

Azure Private Link

Azure Private Link ni huduma katika Azure inayowezesha ufikiaji wa kibinafsi kwa huduma za Azure kwa kuhakikisha kuwa trafiki kati ya mtandao wako wa Azure (VNet) na huduma husafiri kabisa ndani ya mtandao wa msingi wa Azure wa Microsoft. Inaleta huduma hiyo moja kwa moja kwenye VNet yako. Mpangilio huu unakuza usalama kwa kutoanika data kwenye mtandao wa umma.

Private Link inaweza kutumika na huduma mbalimbali za Azure, kama Azure Storage, Azure SQL Database, na huduma maalum zinazoshirikiwa kupitia Private Link. Inatoa njia salama ya kutumia huduma kutoka ndani ya VNet yako mwenyewe au hata kutoka kwa usajili tofauti wa Azure.

NSGs hazitumiki kwa private endpoints, ambayo ina maana wazi kwamba kuhusisha NSG na subnet inayojumuisha Private Link haitakuwa na athari yoyote.

Mfano

Fikiria hali ambapo una Azure SQL Database unayotaka kufikia kwa usalama kutoka VNet yako. Kwa kawaida, hii inaweza kuhusisha kupita kwenye mtandao wa umma. Kwa Private Link, unaweza kuunda private endpoint katika VNet yako inayounganisha moja kwa moja na huduma ya Azure SQL Database. Endpoint hii inafanya database ionekane kama sehemu ya VNet yako mwenyewe, inapatikana kupitia anwani ya IP ya kibinafsi, hivyo kuhakikisha ufikiaji salama na wa kibinafsi.

Enumeration

# List Private Link Services
z network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

Azure Service Endpoints

Azure Service Endpoints huongeza nafasi ya anwani ya kibinafsi ya mtandao wako wa kawaida (VNet) na utambulisho wa VNet yako kwa huduma za Azure kupitia muunganisho wa moja kwa moja. Kwa kuwezesha service endpoints, rasilimali katika VNet yako zinaweza kuunganishwa kwa usalama na huduma za Azure, kama Azure Storage na Azure SQL Database, kwa kutumia mtandao wa ndani wa Azure. Hii inahakikisha kwamba trafiki kutoka VNet hadi huduma ya Azure inabaki ndani ya mtandao wa Azure, ikitoa njia salama na ya kuaminika zaidi.

Mfano

Kwa mfano, akaunti ya Azure Storage kwa default inapatikana kupitia mtandao wa umma. Kwa kuwezesha service endpoint kwa Azure Storage ndani ya VNet yako, unaweza kuhakikisha kwamba ni trafiki tu kutoka VNet yako inaweza kufikia akaunti ya hifadhi. Kisha firewall ya akaunti ya hifadhi inaweza kusanidiwa kukubali trafiki tu kutoka VNet yako.

Enumeration

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

Tofauti Kati ya Service Endpoints na Private Links

Microsoft inapendekeza kutumia Private Links katika docs:\

Service Endpoints:

Trafiki kutoka VNet yako kwenda huduma ya Azure husafiri kupitia mtandao wa Microsoft Azure backbone, ikiepuka mtandao wa umma.
Endpoint ni muunganisho wa moja kwa moja na huduma ya Azure na haitoi IP ya kibinafsi kwa huduma ndani ya VNet.
Huduma yenyewe bado inapatikana kupitia endpoint yake ya umma kutoka nje ya VNet yako isipokuwa uweke firewall ya huduma kuzuia trafiki hiyo.
Ni uhusiano wa moja kwa moja kati ya subnet na huduma ya Azure.
Gharama ndogo kuliko Private Links.

Private Links:

Private Link inachora huduma za Azure ndani ya VNet yako kupitia private endpoint, ambayo ni interface ya mtandao yenye anwani ya IP ya kibinafsi ndani ya VNet yako.
Huduma ya Azure inafikiwa kwa kutumia anwani hii ya IP ya kibinafsi, ikifanya ionekane kama ni sehemu ya mtandao wako.
Huduma zinazounganishwa kupitia Private Link zinaweza kufikiwa tu kutoka VNet yako au mitandao iliyounganishwa; hakuna ufikiaji wa mtandao wa umma kwa huduma.
Inaruhusu muunganisho salama kwa huduma za Azure au huduma zako mwenyewe zinazohifadhiwa katika Azure, pamoja na muunganisho kwa huduma zinazoshirikiwa na wengine.
Inatoa udhibiti wa ufikiaji wa kina zaidi kupitia private endpoint katika VNet yako, tofauti na udhibiti mpana wa ufikiaji katika kiwango cha subnet na service endpoints.

Kwa muhtasari, wakati wote Service Endpoints na Private Links zinatoa muunganisho salama kwa huduma za Azure, Private Links zinatoa kiwango cha juu cha kutengwa na usalama kwa kuhakikisha kwamba huduma zinapatikana kibinafsi bila kuzifichua kwa mtandao wa umma. Service Endpoints, kwa upande mwingine, ni rahisi kusanidi kwa kesi za jumla ambapo ufikiaji rahisi na salama kwa huduma za Azure unahitajika bila hitaji la IP ya kibinafsi katika VNet.

Azure Front Door (AFD) & AFD WAF

Azure Front Door ni sehemu ya kuingilia inayoweza kupanuka na salama kwa utoaji wa haraka wa programu zako za wavuti za kimataifa. Inachanganya huduma mbalimbali kama global load balancing, site acceleration, SSL offloading, na Web Application Firewall (WAF) katika huduma moja. Azure Front Door inatoa urambazaji wa akili kulingana na eneo la karibu zaidi la mtandao kwa mtumiaji, kuhakikisha utendaji bora na uaminifu. Zaidi ya hayo, inatoa urambazaji wa msingi wa URL, mwenyeji wa tovuti nyingi, session affinity, na usalama wa safu ya programu.

Azure Front Door WAF imeundwa kulinda programu za wavuti dhidi ya mashambulizi ya wavuti bila mabadiliko kwa msimbo wa nyuma. Inajumuisha sheria maalum na seti za sheria zinazosimamiwa kulinda dhidi ya vitisho kama SQL injection, cross-site scripting, na mashambulizi mengine ya kawaida.

Mfano

Fikiria una programu iliyosambazwa kimataifa na watumiaji kote ulimwenguni. Unaweza kutumia Azure Front Door kuratibu maombi ya watumiaji kwa kituo cha data cha kikanda kilicho karibu zaidi kinachohifadhi programu yako, hivyo kupunguza ucheleweshaji, kuboresha uzoefu wa mtumiaji na kuilinda dhidi ya mashambulizi ya wavuti na uwezo wa WAF. Ikiwa eneo fulani linapata wakati wa chini, Azure Front Door inaweza kuratibu trafiki moja kwa moja kwa eneo bora linalofuata, kuhakikisha upatikanaji wa juu.

Enumeration

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Azure Application Gateway na Azure Application Gateway WAF

Azure Application Gateway ni web traffic load balancer inayokuwezesha kusimamia trafiki kwa web applications zako. Inatoa Layer 7 load balancing, SSL termination, na web application firewall (WAF) capabilities katika Application Delivery Controller (ADC) kama huduma. Vipengele muhimu ni pamoja na URL-based routing, cookie-based session affinity, na secure sockets layer (SSL) offloading, ambavyo ni muhimu kwa applications zinazohitaji uwezo wa load-balancing tata kama global routing na path-based routing.

Mfano

Fikiria hali ambapo una tovuti ya e-commerce inayojumuisha subdomains nyingi kwa kazi tofauti, kama vile akaunti za watumiaji na usindikaji wa malipo. Azure Application Gateway inaweza kuelekeza trafiki kwa web servers sahihi kulingana na URL path. Kwa mfano, trafiki kwa example.com/accounts inaweza kuelekezwa kwa huduma ya akaunti za watumiaji, na trafiki kwa example.com/pay inaweza kuelekezwa kwa huduma ya usindikaji wa malipo. Na kulinda tovuti yako dhidi ya mashambulizi kwa kutumia uwezo wa WAF.

Enumeration

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

Azure Hub, Spoke & VNet Peering

VNet Peering ni kipengele cha mtandao katika Azure ambacho huruhusu Mitandao ya Kijijini (VNets) tofauti kuunganishwa moja kwa moja na bila mshono. Kupitia VNet peering, rasilimali katika VNet moja zinaweza kuwasiliana na rasilimali katika VNet nyingine kwa kutumia anwani za IP za kibinafsi, kana kwamba ziko katika mtandao mmoja. VNet Peering inaweza pia kutumika na mitandao ya ndani kwa kusanidi VPN ya tovuti-kwa-tovuti au Azure ExpressRoute.

Azure Hub and Spoke ni topolojia ya mtandao inayotumika katika Azure kusimamia na kupanga trafiki ya mtandao. "Hub" ni sehemu kuu inayodhibiti na kuelekeza trafiki kati ya "spokes" tofauti. Hub kawaida ina huduma za pamoja kama vile vifaa vya mtandao vya kawaida (NVAs), Azure VPN Gateway, Azure Firewall, au Azure Bastion. "Spokes" ni VNets zinazohifadhi mizigo ya kazi na kuunganishwa na hub kwa kutumia VNet peering, kuruhusu kutumia huduma za pamoja ndani ya hub. Mfano huu unakuza mpangilio safi wa mtandao, kupunguza ugumu kwa kuzingatia huduma za kawaida ambazo mizigo ya kazi nyingi katika VNets tofauti inaweza kutumia.

VNET pairing si ya moja kwa moja katika Azure, ambayo inamaanisha kwamba kama spoke 1 imeunganishwa na spoke 2 na spoke 2 imeunganishwa na spoke 3 basi spoke 1 haiwezi kuzungumza moja kwa moja na spoke 3.

Mifano

Fikiria kampuni yenye idara tofauti kama vile Mauzo, HR, na Maendeleo, kila moja ikiwa na VNet yake (spokes). VNets hizi zinahitaji kupata huduma za pamoja kama vile hifadhidata kuu, firewall, na lango la mtandao, ambazo zote ziko katika VNet nyingine (hub). Kwa kutumia mfano wa Hub na Spoke, kila idara inaweza kuunganishwa kwa usalama na rasilimali za pamoja kupitia hub VNet bila kufichua rasilimali hizo kwa mtandao wa umma au kuunda muundo mgumu wa mtandao wenye miunganisho mingi.

Enumeration

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

Site-to-Site VPN

Site-to-Site VPN katika Azure inakuruhusu kuunganisha mtandao wako wa ndani na Azure Virtual Network (VNet), kuwezesha rasilimali kama vile VMs ndani ya Azure kuonekana kama ziko kwenye mtandao wako wa ndani. Muunganisho huu unafanywa kupitia VPN gateway inayosimba trafiki kati ya mitandao miwili.

Mfano

Biashara yenye ofisi kuu iliyoko New York ina kituo cha data cha ndani kinachohitaji kuunganishwa kwa usalama na VNet yake katika Azure, ambayo inaendesha mizigo yake ya kazi iliyovirtualishwa. Kwa kuanzisha Site-to-Site VPN, kampuni inaweza kuhakikisha muunganisho uliosimbwa kati ya seva za ndani na Azure VMs, kuruhusu rasilimali kufikiwa kwa usalama katika mazingira yote mawili kana kwamba ziko kwenye mtandao mmoja wa ndani.

Enumeration

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

Azure ExpressRoute

Azure ExpressRoute ni huduma inayotoa muunganisho wa kibinafsi, wa kujitolea, wa kasi ya juu kati ya miundombinu yako ya ndani na vituo vya data vya Azure. Muunganisho huu unafanywa kupitia mtoa huduma wa muunganisho, ukipita mtandao wa umma na kutoa uaminifu zaidi, kasi za juu, ucheleweshaji mdogo, na usalama wa juu zaidi kuliko muunganisho wa kawaida wa mtandao.

Mfano

Shirika la kimataifa linahitaji muunganisho thabiti na wa kuaminika kwa huduma zake za Azure kutokana na wingi wa data na hitaji la upitishaji wa juu. Kampuni inachagua Azure ExpressRoute kuunganisha moja kwa moja kituo chake cha data cha ndani na Azure, kuwezesha uhamisho wa data kwa kiwango kikubwa, kama vile nakala za kila siku na uchanganuzi wa data kwa wakati halisi, kwa faragha na kasi iliyoboreshwa.

Enumeration

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Angalia mipango ya usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwenye HackTricks na HackTricks Cloud repos za github.

PreviousAz - Virtual Machines & Network NextAz - Permissions for a Pentest

Last updated 1 month ago