GCP - VPC & Networking

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

GCP Compute Networking in a Nutshell

VPCs περιέχουν κανόνες Firewall για να επιτρέπουν την εισερχόμενη κίνηση στο VPC. Οι VPCs περιέχουν επίσης υποδίκτυα όπου οι εικονικές μηχανές θα είναι συνδεδεμένες.
Σε σύγκριση με το AWS, το Firewall θα ήταν το πλησιέστερο πράγμα σε AWS Security Groups και NACLs, αλλά σε αυτή την περίπτωση αυτοί ορίζονται στο VPC και όχι σε κάθε instance.

VPC, Υποδίκτυα & Firewalls στο GCP

Οι Compute Instances είναι συνδεδεμένα υποδίκτυα που είναι μέρος των VPCs (Virtual Private Clouds). Στο GCP δεν υπάρχουν ομάδες ασφαλείας, υπάρχουν firewalls VPC με κανόνες που ορίζονται σε αυτό το επίπεδο δικτύου αλλά εφαρμόζονται σε κάθε VM Instance.

Υποδίκτυα

Ένα VPC μπορεί να έχει πολλά υποδίκτυα. Κάθε υποδίκτυο είναι σε 1 περιοχή.

Firewalls

Από προεπιλογή, κάθε δίκτυο έχει δύο υπονοούμενους κανόνες firewall: επιτρέπουν την έξοδο και αρνούνται την είσοδο.

Όταν δημιουργείται ένα έργο GCP, δημιουργείται επίσης ένα VPC που ονομάζεται default, με τους εξής κανόνες firewall:

• default-allow-internal: επιτρέπει όλη την κίνηση από άλλες instances στο δίκτυο default
• default-allow-ssh: επιτρέπει 22 από παντού
• default-allow-rdp: επιτρέπει 3389 από παντού
• default-allow-icmp: επιτρέπει ping από παντού

Warning

Όπως μπορείτε να δείτε, οι κανόνες firewall τείνουν να είναι πιο επιεικείς για εσωτερικές διευθύνσεις IP. Το προεπιλεγμένο VPC επιτρέπει όλη την κίνηση μεταξύ των Compute Instances.

Περισσότεροι κανόνες Firewall μπορούν να δημιουργηθούν για το προεπιλεγμένο VPC ή για νέα VPCs. Κανόνες Firewall μπορούν να εφαρμοστούν σε instances μέσω των εξής μεθόδων:

• Network tags
• Service accounts
• Όλες οι instances εντός ενός VPC

Δυστυχώς, δεν υπάρχει μια απλή εντολή gcloud για να εμφανίσει όλες τις Compute Instances με ανοιχτές θύρες στο διαδίκτυο. Πρέπει να συνδέσετε τα σημεία μεταξύ των κανόνων firewall, των network tags, των service accounts και των instances.

Αυτή η διαδικασία αυτοματοποιήθηκε χρησιμοποιώντας αυτό το python script το οποίο θα εξάγει τα εξής:

• Αρχείο CSV που δείχνει instance, δημόσια IP, επιτρεπόμενο TCP, επιτρεπόμενο UDP
• nmap scan για να στοχεύσει όλες τις instances σε θύρες εισερχόμενης κίνησης που επιτρέπονται από το δημόσιο διαδίκτυο (0.0.0.0/0)
• masscan για να στοχεύσει το πλήρες εύρος TCP αυτών των instances που επιτρέπουν ΟΛΕΣ τις θύρες TCP από το δημόσιο διαδίκτυο (0.0.0.0/0)

Πολιτικές Firewall Ιεραρχίας

Πολιτικές firewall ιεραρχίας σας επιτρέπουν να δημιουργήσετε και να επιβάλετε μια συνεπή πολιτική firewall σε όλη την οργάνωσή σας. Μπορείτε να αναθέσετε πολιτικές firewall ιεραρχίας στην οργάνωση ως σύνολο ή σε μεμονωμένα φακέλους. Αυτές οι πολιτικές περιέχουν κανόνες που μπορούν ρητά να αρνούνται ή να επιτρέπουν συνδέσεις.

Δημιουργείτε και εφαρμόζετε πολιτικές firewall ως ξεχωριστά βήματα. Μπορείτε να δημιουργήσετε και να εφαρμόσετε πολιτικές firewall στα nodes οργάνωσης ή φακέλων της ιεραρχίας πόρων. Ένας κανόνας πολιτικής firewall μπορεί να μπλοκάρει συνδέσεις, να επιτρέπει συνδέσεις ή να αναβάλλει την αξιολόγηση κανόνων firewall σε χαμηλότερους φακέλους ή κανόνες firewall VPC που ορίζονται σε δίκτυα VPC.

Από προεπιλογή, όλοι οι κανόνες πολιτικής firewall ιεραρχίας ισχύουν για όλα τα VMs σε όλα τα έργα κάτω από την οργάνωση ή τον φάκελο όπου σχετίζεται η πολιτική. Ωστόσο, μπορείτε να περιορίσετε ποια VMs λαμβάνουν έναν δεδομένο κανόνα καθορίζοντας στόχους δικτύων ή στόχους λογαριασμών υπηρεσιών.

Μπορείτε να διαβάσετε εδώ πώς να δημιουργήσετε μια Πολιτική Firewall Ιεραρχίας.

Αξιολόγηση Κανόνων Firewall

1. Org: Πολιτικές firewall που ανατίθενται στην Οργάνωση
2. Φάκελος: Πολιτικές firewall που ανατίθενται στον Φάκελο
3. VPC: Κανόνες firewall που ανατίθενται στο VPC
4. Global: Ένας άλλος τύπος κανόνων firewall που μπορεί να ανατεθεί σε VPCs
5. Περιφερειακός: Κανόνες firewall που σχετίζονται με το δίκτυο VPC της NIC του VM και την περιοχή του VM.

VPC Network Peering

Επιτρέπει τη σύνδεση δύο δικτύων Virtual Private Cloud (VPC) έτσι ώστε οι πόροι σε κάθε δίκτυο να μπορούν να επικοινωνούν μεταξύ τους.
Τα συνδεδεμένα δίκτυα VPC μπορούν να είναι στο ίδιο έργο, σε διαφορετικά έργα της ίδιας οργάνωσης ή σε διαφορετικά έργα διαφορετικών οργανώσεων.

Αυτές είναι οι απαραίτητες άδειες:

• compute.networks.addPeering
• compute.networks.updatePeering
• compute.networks.removePeering
• compute.networks.listPeeringRoutes

Περισσότερα στα docs.

Αναφορές

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/
• https://cloud.google.com/vpc/docs/firewall-policies-overview#rule-evaluation

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.