Az - Azure Δίκτυο

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Βασικές Πληροφορίες

Azure παρέχει εικονικά δίκτυα (VNet) που επιτρέπουν στους χρήστες να δημιουργήσουν απομονωμένα δίκτυα εντός του Azure cloud. Μέσα σε αυτά τα VNet, πόροι όπως virtual machines, applications, βάσεις δεδομένων… μπορούν να φιλοξενηθούν και να διαχειριστούν με ασφάλεια. Η δικτύωση στο Azure υποστηρίζει τόσο την επικοινωνία εντός του cloud (μεταξύ Azure services) όσο και τη σύνδεση με εξωτερικά δίκτυα και το internet.
Επιπλέον, είναι δυνατό να συνδέσετε VNet με άλλα VNet και με on-premise δίκτυα.

Virtual Network (VNET) & Υποδίκτυα

Ένα Azure Virtual Network (VNet) αποτελεί αναπαράσταση του δικού σας δικτύου στο cloud, παρέχοντας λογική απομόνωση εντός του Azure περιβάλλοντος αφιερωμένου στη συνδρομή σας. Τα VNet σας επιτρέπουν να δημιουργείτε και να διαχειρίζεστε virtual private networks (VPNs) στο Azure, φιλοξενώντας πόρους όπως Virtual Machines (VMs), βάσεις δεδομένων και υπηρεσίες εφαρμογών. Προσφέρουν πλήρη έλεγχο των ρυθμίσεων δικτύου, συμπεριλαμβανομένων των εύρων διευθύνσεων IP, της δημιουργίας subnets, των route tables και των network gateways.

Subnets είναι υποδιαιρέσεις εντός ενός VNet, ορισμένες από συγκεκριμένα εύρη διευθύνσεων IP. Με τη διαίρεση ενός VNet σε πολλαπλά subnets, μπορείτε να οργανώσετε και να ασφαλίσετε πόρους σύμφωνα με την αρχιτεκτονική του δικτύου σας.
Από προεπιλογή όλα τα subnets εντός του ίδιου Azure Virtual Network (VNet) μπορούν να επικοινωνούν μεταξύ τους χωρίς κανέναν περιορισμό.

Παράδειγμα:

• MyVNet with an IP address range of 10.0.0.0/16.
• Subnet-1: 10.0.0.0/24 για διακομιστές web.
• Subnet-2: 10.0.1.0/24 για διακομιστές βάσεων δεδομένων.

Καταγραφή

Για να απαριθμήσετε όλα τα VNet και τα subnets σε έναν λογαριασμό Azure, μπορείτε να χρησιμοποιήσετε το Azure Command-Line Interface (CLI). Εδώ είναι τα βήματα:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}"

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

# List VNets
Get-AzVirtualNetwork | Select-Object Name, Location, @{Name="AddressSpace"; Expression={$_.AddressSpace.AddressPrefixes}}

# List subnets of a VNet
Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName> |
Select-Object -ExpandProperty Subnets |
Select-Object Name, AddressPrefix

Ομάδες Ασφάλειας Δικτύου (NSG)

Μια Ομάδα Ασφάλειας Δικτύου (NSG) φιλτράρει την κίνηση δικτύου τόσο προς όσο και από πόρους του Azure εντός ενός Azure Virtual Network (VNet). Περιέχει ένα σύνολο κανόνων ασφάλειας που μπορούν να καθορίσουν ποιες θύρες να ανοίξουν για εισερχόμενη και εξερχόμενη κίνηση βάσει source port, source IP, destination port, και είναι δυνατή η ανάθεση προτεραιότητας (όσο μικρότερος ο αριθμός προτεραιότητας, τόσο μεγαλύτερη η προτεραιότητα).

Οι NSGs μπορούν να συσχετιστούν με subnets και NICs.

Παραδείγματα κανόνων:

• Ένας εισερχόμενος κανόνας που επιτρέπει HTTP traffic (port 80) από οποιαδήποτε πηγή προς τους web servers σας.
• Ένας εξερχόμενος κανόνας που επιτρέπει μόνο SQL traffic (port 1433) προς ένα συγκεκριμένο εύρος διευθύνσεων IP προορισμού.

Καταγραφή

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table
az network nsg show --name <nsg-name>

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

# Get NICs and subnets using this NSG
az network nsg show --name <NSGName> --resource-group <ResourceGroupName> --query "{subnets: subnets, networkInterfaces: networkInterfaces}"

# List NSGs
Get-AzNetworkSecurityGroup | Select-Object Name, Location
Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>

# Get NSG rules
Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName> |
Select-Object -ExpandProperty SecurityRules |
Select-Object Name, Priority, Direction, Access, Protocol, SourceAddressPrefix, DestinationAddressPrefix, SourcePortRange, DestinationPortRange

# Get NICs and subnets using this NSG
(Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>).Subnets
(Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>).NetworkInterfaces

Azure Firewall

Το Azure Firewall είναι ένα managed, stateful firewall που φιλτράρει την κίνηση (L3–L7) για east-west και north-south flows. Αναπτύσσεται σε επίπεδο VNet, κεντροποιεί την επιθεώρηση για όλα τα subnets και αυτο-κλιμακώνεται για διαθεσιμότητα.

Available SKUs: Basic, Standard, and Premium:

Καταγραφή

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# List Azure Firewalls
Get-AzFirewall

# Get network rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).NetworkRuleCollections

# Get application rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).ApplicationRuleCollections

# Get nat rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).NatRuleCollections

Azure Route Tables

Azure Route Tables (UDR) σας επιτρέπουν να παρακάμψετε την προεπιλεγμένη δρομολόγηση ορίζοντας προθέματα προορισμού (π.χ., 10.0.0.0/16 ή 0.0.0.0/0) και έναν next hop (Virtual Network, Internet, Virtual Network Gateway, ή Virtual Appliance).

Οι Routes εφαρμόζονται σε επίπεδο subnet· όλες οι VMs σε αυτό το subnet ακολουθούν τον πίνακα.

Παράδειγμα:

• Για κίνηση προς Internet, χρησιμοποιήστε την προεπιλεγμένη 0.0.0.0/0 με Internet ως next hop.
• Για να επιθεωρήσετε την εξερχόμενη κίνηση, δρομολογήστε 0.0.0.0/0 σε IP ενός Network Virtual Appliance (NVA) IP.

Ανίχνευση

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List routes for a table (summary)
az network route-table route list --resource-group <ResourceGroupName> --route-table-name <RouteTableName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

# List routes for a table (full)
az network route-table route list --resource-group <ResourceGroupName> --route-table-name <RouteTableName>

# List Route Tables
Get-AzRouteTable

# List routes for a table
(Get-AzRouteTable -Name <RouteTableName> -ResourceGroupName <ResourceGroupName>).Routes

Azure Private Link

Το Azure Private Link είναι μια υπηρεσία στο Azure που επιτρέπει ιδιωτική πρόσβαση σε υπηρεσίες Azure εξασφαλίζοντας ότι η κίνηση μεταξύ του Azure virtual network (VNet) σας και της υπηρεσίας διατρέχει εξ ολοκλήρου το backbone δίκτυο του Microsoft Azure. Ουσιαστικά φέρνει την υπηρεσία μέσα στο VNet σας. Αυτή η ρύθμιση ενισχύει την ασφάλεια καθώς δεν εκθέτει τα δεδομένα στο δημόσιο internet.

Το Private Link μπορεί να χρησιμοποιηθεί με διάφορες υπηρεσίες Azure, όπως Azure Storage, Azure SQL Database, και προσαρμοσμένες υπηρεσίες που μοιράζονται μέσω Private Link. Παρέχει έναν ασφαλή τρόπο κατανάλωσης υπηρεσιών από το δικό σας VNet ή ακόμη και από διαφορετικά Azure subscriptions.

Caution

NSGs δεν εφαρμόζονται σε private endpoints, που σαφώς σημαίνει ότι η αντιστοίχιση ενός NSG με ένα subnet που περιέχει το Private Link δεν θα έχει κανένα αποτέλεσμα.

Παράδειγμα:

Σκεφτείτε ένα σενάριο όπου έχετε μια Azure SQL Database που θέλετε να προσεγγίσετε με ασφάλεια από το VNet σας. Κανονικά, αυτό μπορεί να απαιτεί διαδρομή μέσω του δημόσιου internet. Με το Private Link, μπορείτε να δημιουργήσετε ένα private endpoint στο VNet σας που συνδέεται άμεσα με την υπηρεσία Azure SQL Database. Αυτό το endpoint κάνει τη βάση να φαίνεται σαν να είναι μέρος του VNet σας, προσβάσιμη μέσω ιδιωτικής IP διεύθυνσης, εξασφαλίζοντας έτσι ασφαλή και ιδιωτική πρόσβαση.

Καταγραφή

# List Private Link Services
az network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

# List Private Link Services
Get-AzPrivateLinkService | Select-Object Name, Location, ResourceGroupName

# List Private Endpoints
Get-AzPrivateEndpoint | Select-Object Name, Location, ResourceGroupName, PrivateEndpointConnections

DNS OverDoS μέσω service Private DNS zone links

Όταν ένα VNet έχει Virtual Network Link προς μια service Private DNS zone (π.χ. privatelink.blob.core.windows.net), το Azure αναγκάζει την επίλυση ονόματος για τους Private Link registered πόρους αυτού του τύπου υπηρεσίας μέσω της zone. Εάν η zone δεν έχει το απαιτούμενο A record για έναν πόρο στον οποίο τα workloads εξακολουθούν να έχουν πρόσβαση μέσω του δημόσιου endpoint, η επίλυση DNS επιστρέφει NXDOMAIN και οι clients δεν φτάνουν ποτέ στη δημόσια IP, προκαλώντας availability DoS χωρίς να πειραχτεί ο ίδιος ο πόρος.

Abuse flow (control-plane DoS):

1. Αποκτήστε RBAC που επιτρέπει τη δημιουργία Private Endpoints ή την τροποποίηση των Private DNS zone links.
2. Δημιουργήστε ένα Private Endpoint για τον ίδιο τύπο υπηρεσίας σε άλλο VNet (το Azure αυτοματοποιημένα δημιουργεί την service Private DNS zone και τη συνδέει σε αυτό το VNet).
3. Συνδέστε εκείνη την service Private DNS zone στο θύμα VNet.
4. Επειδή το θύμα VNet τώρα αναγκάζει την επίλυση μέσω της Private DNS zone και δεν υπάρχει A record για τον στοχευόμενο πόρο σε εκείνη τη zone, η επίλυση ονόματος αποτυγχάνει και το workload δεν μπορεί να φτάσει το (ακόμα δημόσιο) endpoint. Αυτό ισχύει για οποιαδήποτε υπηρεσία που υποστηρίζεται από Private Link (storage, Key Vault, ACR, Cosmos DB, Function Apps, OpenAI, κ.λπ.).

Discovery at scale (Azure Resource Graph):

• VNETs linked to the blob Private DNS zone (forced resolution for PL-registered blob endpoints):

resources
| where type == "microsoft.network/privatednszones/virtualnetworklinks"
| extend
zone = tostring(split(id, "/virtualNetworkLinks")[0]),
vnetId = tostring(properties.virtualNetwork.id)
| join kind=inner (
resources
| where type == "microsoft.network/privatednszones"
| where name == "privatelink.blob.core.windows.net"
| project zoneId = id
) on $left.zone == $right.zoneId
| project vnetId

• Storage accounts προσβάσιμα μέσω public endpoint αλλά χωρίς Private Endpoint connections (πιθανόν να σπάσει αν προστεθεί ο παραπάνω σύνδεσμος):

Resources
| where type == "microsoft.storage/storageaccounts"
| extend publicNetworkAccess = properties.publicNetworkAccess
| extend defaultAction = properties.networkAcls.defaultAction
| extend vnetRules = properties.networkAcls.virtualNetworkRules
| extend ipRules = properties.networkAcls.ipRules
| extend privateEndpoints = properties.privateEndpointConnections
| where publicNetworkAccess == "Enabled"
| where defaultAction == "Deny"
| where (isnull(privateEndpoints) or array_length(privateEndpoints) == 0)
| extend allowedVnets = iif(isnull(vnetRules), 0, array_length(vnetRules))
| extend allowedIps = iif(isnull(ipRules), 0, array_length(ipRules))
| where allowedVnets > 0 or allowedIps > 0
| project id, name, vnetRules, ipRules

Azure Service Endpoints

Azure Service Endpoints επεκτείνουν τον ιδιωτικό χώρο διευθύνσεων του virtual network σας και την ταυτότητα του VNet σας προς τις υπηρεσίες Azure μέσω μιας άμεσης σύνδεσης. Ενεργοποιώντας service endpoints, οι πόροι στο VNet σας μπορούν να συνδεθούν με ασφάλεια σε υπηρεσίες Azure, όπως το Azure Storage και το Azure SQL Database, μέσω του Azure backbone network. Αυτό είναι ιδιαίτερα χρήσιμο όταν συνδυάζεται με Network Security Groups (NSGs) για λεπτομερή έλεγχο της κυκλοφορίας.

Παράδειγμα:

• Με Storage Account και Service Endpoint ενεργοποιημένα σε ένα VNET, είναι δυνατόν να επιτρέψετε εισερχόμενη κίνηση μόνο από ένα VNET στο firewall του storage account, αναγκάζοντας μια ασφαλή σύνδεση χωρίς να απαιτείται πρόσβαση μέσω public IP για την υπηρεσία storage.

Τα Service Endpoints δεν απαιτούν ιδιωτικές διευθύνσεις IP για τις υπηρεσίες και αντίθετα βασίζονται στο Azure backbone για ασφαλή συνδεσιμότητα. Είναι πιο εύκολα στην εγκατάσταση σε σύγκριση με τα Private Links αλλά δεν παρέχουν το ίδιο επίπεδο απομόνωσης και λεπτομέρειας όπως τα Private Links.

Enumeration

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}"

# List Service Endpoints for a Subnet
az network vnet subnet show --resource-group <ResourceGroupName> --vnet-name <VNetName> --name <SubnetName> --query "serviceEndpoints"

# List Virtual Networks with Service Endpoints
Get-AzVirtualNetwork

# List Subnets with Service Endpoints
(Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName>).Subnets

Διαφορές μεταξύ Service Endpoints και Private Links

Microsoft συνιστά τη χρήση των Private Links στα docs:

Service Endpoints:

• Η κίνηση από το VNet σας προς την υπηρεσία Azure διατρέχει το Microsoft Azure backbone network, παρακάμπτοντας το δημόσιο Internet.
• Το endpoint είναι άμεση σύνδεση με την υπηρεσία Azure και δεν παρέχει private IP για την υπηρεσία εντός του VNet.
• Η υπηρεσία καθαυτή παραμένει προσβάσιμη μέσω του δημόσιου endpoint της από έξω από το VNet σας, εκτός αν διαμορφώσετε το service firewall για να αποκλείσει τέτοια κίνηση.
• Είναι σχέση ένα-προς-ένα μεταξύ του subnet και της υπηρεσίας Azure.
• Πιο οικονομικό από τα Private Links.

Private Links:

• Το Private Link χαρτογραφεί τις υπηρεσίες Azure στο VNet σας μέσω ενός private endpoint, το οποίο είναι ένα network interface με private IP address εντός του VNet σας.
• Η υπηρεσία Azure προσπελάζεται χρησιμοποιώντας αυτή την private IP address, κάνοντάς την να φαίνεται σαν να είναι μέρος του δικτύου σας.
• Οι υπηρεσίες που είναι συνδεδεμένες μέσω Private Link μπορούν να προσπελαστούν μόνο από το VNet σας ή συνδεδεμένα δίκτυα· δεν υπάρχει πρόσβαση από το δημόσιο Internet στην υπηρεσία.
• Επιτρέπει μια ασφαλή σύνδεση σε υπηρεσίες Azure ή στις δικές σας υπηρεσίες που φιλοξενούνται στο Azure, καθώς και σύνδεση σε υπηρεσίες που μοιράζονται άλλοι.
• Παρέχει πιο λεπτομερή έλεγχο πρόσβασης μέσω ενός private endpoint στο VNet σας, σε αντίθεση με τον ευρύτερο έλεγχο πρόσβασης σε επίπεδο subnet με τα service endpoints.

Συνοπτικά, ενώ και τα Service Endpoints και τα Private Links παρέχουν ασφαλή συνδεσιμότητα προς υπηρεσίες Azure, Private Links προσφέρουν υψηλότερο επίπεδο απομόνωσης και ασφάλειας εξασφαλίζοντας ότι οι υπηρεσίες προσπελαύνονται ιδιωτικά χωρίς να εκτίθενται στο δημόσιο Internet. Τα Service Endpoints, από την άλλη πλευρά, είναι πιο εύκολα στη ρύθμιση για γενικές περιπτώσεις όπου απαιτείται απλή, ασφαλής πρόσβαση σε υπηρεσίες Azure χωρίς την ανάγκη για private IP στο VNet.

Azure Front Door (AFD) & AFD WAF

Το Azure Front Door είναι ένα κλιμακούμενο και ασφαλές σημείο εισόδου για γρήγορη παράδοση των παγκόσμιων web εφαρμογών σας. Συνδυάζει διάφορες υπηρεσίες όπως επιτάχυνση εφαρμογών, SSL offloading, και ασφάλεια επιπέδου εφαρμογής (μέσω Web Application Firewall - WAF). Είναι χτισμένο πάνω στην ιδέα των edge POP (Point of Presence) locations σε όλο τον κόσμο για να φέρνει τις εφαρμογές σας πιο κοντά στους χρήστες σας.

Το Azure Front Door παρέχει ένα παγκοσμίως κατανεμημένο δίκτυο edge locations για να δρομολογεί και να επιταχύνει την εισερχόμενη κίνηση προς τις web εφαρμογές σας (σε Azure ή αλλού), να βελτιώνει την απόδοση και να ενισχύει την ασφάλεια.

Παράδειγμα:

• Για μια παγκόσμια πλατφόρμα e-commerce με χρήστες σε όλο τον κόσμο, το Azure Front Door μπορεί να αποθηκεύσει στην cache στατικό περιεχόμενο σε edge locations και να προσφέρει SSL offloading, μειώνοντας την καθυστέρηση και παρέχοντας πιο ανταποκρινόμενη εμπειρία χρήστη. Επιπλέον, παρέχει WAF για να προστατεύει τις εφαρμογές σας από κοινές web ευπάθειες (όπως SQL injection ή XSS).

Το Azure Front Door προσφέρει επίσης έξυπνο load balancing δρομολογώντας την κίνηση στον πλησιέστερο διαθέσιμο backend με βάση health probes και latency, διασφαλίζοντας σταθερή απόδοση και διαθεσιμότητα. Ενσωματώνοντας το WAF, βοηθά στην προστασία από κοινές web απειλές.

Enumeration

# List Azure Front Door profiles
az afd profile list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List AFD endpoints
az afd endpoint list --profile-name <ProfileName> --resource-group <ResourceGroupName> --query "[].{name:name, hostName:hostName, state:resourceState}" -o table

# Classic Azure Front Door (v1) profiles
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# Classic Azure Front Door WAF policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Azure Front Door profiles
Get-AzFrontDoorCdnProfile | Select-Object Name, Location, ResourceGroupName

# List AFD endpoints
Get-AzFrontDoorCdnEndpoint -ProfileName <ProfileName> -ResourceGroupName <ResourceGroupName> | Select-Object Name, HostName, ResourceState

# Classic Azure Front Door (v1) profiles
Get-AzFrontDoor

# Classic Azure Front Door WAF policies
Get-AzFrontDoorWafPolicy -Name <policyName> -ResourceGroupName <resourceGroupName>

Azure Application Gateway και Azure Application Gateway WAF

Το Azure Application Gateway είναι ένας ισορροπιστής φόρτου για κυκλοφορία web που σας επιτρέπει να διαχειρίζεστε την κυκλοφορία προς τις web εφαρμογές σας. Προσφέρει Layer 7 load balancing, SSL termination, και δυνατότητες web application firewall (WAF) ως υπηρεσία Application Delivery Controller (ADC). Βασικά χαρακτηριστικά περιλαμβάνουν URL-based routing, cookie-based session affinity, και offloading του secure sockets layer (SSL), τα οποία είναι κρίσιμα για εφαρμογές που απαιτούν πολύπλοκες δυνατότητες load-balancing όπως global routing και path-based routing.

Παράδειγμα:

Σκεφτείτε ένα σενάριο όπου έχετε έναν e-commerce ιστότοπο που περιλαμβάνει πολλαπλούς υποτομείς για διαφορετικές λειτουργίες, όπως λογαριασμοί χρηστών και επεξεργασία πληρωμών. Το Azure Application Gateway μπορεί να δρομολογήσει την κυκλοφορία στους κατάλληλους web servers βάσει του URL path. Για παράδειγμα, η κυκλοφορία προς example.com/accounts μπορεί να κατευθυνθεί στην υπηρεσία λογαριασμών χρηστών, και η κυκλοφορία προς example.com/pay μπορεί να κατευθυνθεί στην υπηρεσία επεξεργασίας πληρωμών.
Και προστατέψτε τον ιστότοπό σας από επιθέσεις χρησιμοποιώντας τις δυνατότητες WAF.

Enumeration

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

# List the Web Application Firewall configurations for your Application Gateways
(Get-AzApplicationGateway -Name <AppGatewayName> -ResourceGroupName <ResourceGroupName>).WebApplicationFirewallConfiguration

VNet Peering & HUB and Spoke topologies

VNet Peering

VNet Peering είναι μια δυνατότητα στο Azure που επιτρέπει διαφορετικά Virtual Networks (VNets) να συνδεθούν απευθείας και ομαλά. Μέσω του VNet peering, πόροι σε ένα VNet μπορούν να επικοινωνούν με πόρους σε άλλο VNet χρησιμοποιώντας ιδιωτικές IP διευθύνσεις, σαν να ήταν στο ίδιο δίκτυο.
Το VNet Peering μπορεί επίσης να χρησιμοποιηθεί με on-prem networks μέσω εγκατάστασης site-to-site VPN ή Azure ExpressRoute.

Azure Hub and Spoke είναι μια δικτυακή αρχιτεκτονική που αξιοποιεί το VNet peering για να δημιουργήσει ένα κεντρικό Hub VNet που συνδέεται με πολλαπλά Spoke VNets. Το hub συνήθως περιέχει κοινόχρηστες υπηρεσίες (όπως firewalls, DNS, ή Active Directory) ενώ τα spokes φιλοξενούν εφαρμογές. Αυτός ο σχεδιασμός απλοποιεί τη διαχείριση, ενισχύει την ασφάλεια μέσω κεντρικοποιημένων ελέγχων και μειώνει την πλεονάζουσα επανάληψη.

Example:

Ένας μεγάλος οργανισμός με πολλαπλά τμήματα (Finance, HR, IT) μπορεί να δημιουργήσει ένα Hub VNet με κοινόχρηστες υπηρεσίες όπως firewalls και DNS servers. Κάθε τμήμα μπορεί να έχει το δικό του Spoke VNet που συνδέεται με το Hub μέσω peering. Αυτό επιτρέπει στα τμήματα να επικοινωνούν με ασφάλεια και να χρησιμοποιούν κοινές υπηρεσίες χωρίς να εκθέτουν τους πόρους τους στο δημόσιο internet.

Enumeration

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet Peerings
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, remoteVnetId:remoteVirtualNetwork.id, allowForwardedTraffic:allowForwardedTraffic, allowGatewayTransit:allowGatewayTransit}"

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List all VNets in your subscription
Get-AzVirtualNetwork

# List VNet Peerings
Get-AzVirtualNetworkPeering -ResourceGroupName <ResourceGroupName> -VirtualNetworkName <VNetName>

# List Shared Resources (e.g., Azure Firewall) in the Hub
Get-AzFirewall

Site-to-Site VPN

A Site-to-Site VPN in Azure establishes a secure and persistent connection from your on-premises network to your Azure Virtual Network (VNet), enabling resources such as VMs within Azure to appear as if they are on your local network. This connection is established through a VPN gateway that encrypts traffic between the two networks.

Παράδειγμα:

Μια επιχείρηση με το κεντρικό της γραφείο στη Νέα Υόρκη έχει ένα data center εντός εγκαταστάσεων που πρέπει να συνδεθεί με ασφάλεια στο VNet της στο Azure, το οποίο φιλοξενεί τα εικονικά φορτία εργασίας της. Με τη ρύθμιση μιας Site-to-Site VPN, η εταιρεία μπορεί να εξασφαλίσει κρυπτογραφημένη συνδεσιμότητα μεταξύ των servers εντός εγκαταστάσεων και των Azure VMs, επιτρέποντας την ασφαλή πρόσβαση σε πόρους και στα δύο περιβάλλοντα σαν να βρίσκονταν στο ίδιο τοπικό δίκτυο.

Enumeration

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

# List VPN Gateways
Get-AzVirtualNetworkGateway -ResourceGroupName <ResourceGroupName>

# List VPN Connections
Get-AzVirtualNetworkGatewayConnection -ResourceGroupName <ResourceGroupName>

Azure ExpressRoute

Azure ExpressRoute είναι μια υπηρεσία που παρέχει μια ιδιωτική, αφιερωμένη, υψηλής ταχύτητας σύνδεση μεταξύ της τοπικής υποδομής σας και των κέντρων δεδομένων Azure. Αυτή η σύνδεση πραγματοποιείται μέσω ενός παρόχου συνδεσιμότητας, παρακάμπτοντας το δημόσιο διαδίκτυο και προσφέροντας μεγαλύτερη αξιοπιστία, ταχύτερες ταχύτητες, χαμηλότερες καθυστερήσεις και υψηλότερη ασφάλεια σε σχέση με τις τυπικές συνδέσεις στο διαδίκτυο.

Παράδειγμα:

Μια πολυεθνική εταιρεία χρειάζεται μια σταθερή και αξιόπιστη σύνδεση προς τις υπηρεσίες Azure λόγω του μεγάλου όγκου δεδομένων και της ανάγκης για υψηλό ρυθμό μεταφοράς δεδομένων. Η εταιρεία επιλέγει Azure ExpressRoute για να συνδέσει απευθείας το τοπικό κέντρο δεδομένων της με το Azure, διευκολύνοντας μεταφορές δεδομένων μεγάλης κλίμακας, όπως καθημερινά αντίγραφα ασφαλείας και ανάλυση δεδομένων σε πραγματικό χρόνο, με βελτιωμένη ιδιωτικότητα και ταχύτητα.

Καταγραφή

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table

# List ExpressRoute Circuits
Get-AzExpressRouteCircuit

Αναφορές

• DNS OverDoS: Are Private Endpoints Too Private?
• Azure Private Endpoint DNS configuration
• Private DNS fallback to internet

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.