AWS - VPC & Networking Información Básica

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

AWS Networking en Resumen

Una VPC contiene un CIDR de red como 10.0.0.0/16 (con su tabla de enrutamiento y ACL de red).

Esta red VPC se divide en subredes, por lo que una subred está directamente relacionada con la VPC, tabla de enrutamiento y ACL de red.

Luego, las Interfaces de Red adjuntas a servicios (como instancias EC2) están conectadas a las subredes con grupo(s) de seguridad.

Por lo tanto, un grupo de seguridad limitará los puertos expuestos de las interfaces de red que lo utilizan, independientemente de la subred. Y una ACL de red limitará los puertos expuestos a la red completa.

Además, para acceder a Internet, hay algunas configuraciones interesantes a verificar:

  • Una subred puede asignar automáticamente direcciones IPv4 públicas
  • Una instancia creada en la red que asigna automáticamente direcciones IPv4 puede obtener una
  • Un gateway de Internet debe estar adjunto a la VPC
  • También podrías usar gateways de internet solo de salida
  • También podrías tener un gateway NAT en una subred privada para que sea posible conectarse a servicios externos desde esa subred privada, pero no es posible alcanzarlos desde el exterior.
  • El gateway NAT puede ser público (acceso a internet) o privado (acceso a otras VPCs)

VPC

Amazon Virtual Private Cloud (Amazon VPC) te permite lanzar recursos de AWS en una red virtual que has definido. Esta red virtual tendrá varias subredes, Gateways de Internet para acceder a Internet, ACLs, Grupos de seguridad, IPs…

Subredes

Las subredes ayudan a imponer un mayor nivel de seguridad. Agrupación lógica de recursos similares también te ayuda a mantener una facilidad de gestión en tu infraestructura.

  • Los CIDR válidos son desde una máscara de red /16 hasta una máscara de red /28.
  • Una subred no puede estar en diferentes zonas de disponibilidad al mismo tiempo.
  • AWS reserva las primeras tres direcciones IP de host de cada subred para uso interno de AWS: la primera dirección de host utilizada es para el enrutador de la VPC. La segunda dirección está reservada para AWS DNS y la tercera dirección está reservada para uso futuro.
  • Se llaman subredes públicas a aquellas que tienen acceso directo a Internet, mientras que las subredes privadas no.

Tablas de Rutas

Las tablas de rutas determinan el enrutamiento del tráfico para una subred dentro de una VPC. Determinan qué tráfico de red se reenvía a internet o a una conexión VPN. Normalmente encontrarás acceso a:

  • VPC local
  • NAT
  • Gateways de Internet / gateways de internet solo de salida (necesarios para dar acceso a la VPC a Internet).
  • Para hacer pública una subred, necesitas crear y adjuntar un gateway de Internet a tu VPC.
  • Puntos finales de VPC (para acceder a S3 desde redes privadas)

En las siguientes imágenes puedes verificar las diferencias en una red pública predeterminada y una privada:

ACLs

Listas de Control de Acceso de Red (ACLs): Las ACL de red son reglas de firewall que controlan el tráfico de red entrante y saliente a una subred. Pueden ser utilizadas para permitir o denegar tráfico a direcciones IP o rangos específicos.

  • Es más frecuente permitir/denegar acceso usando grupos de seguridad, pero esta es la única forma de cortar completamente shells reversos establecidos. Una regla modificada en un grupo de seguridad no detiene las conexiones ya establecidas.
  • Sin embargo, esto se aplica a toda la subred, ten cuidado al prohibir cosas porque la funcionalidad necesaria podría verse afectada.

Grupos de Seguridad

Los grupos de seguridad son un firewall virtual que controla el tráfico de red entrante y saliente a instancias en una VPC. Relación 1 SG a M instancias (generalmente 1 a 1).
Normalmente se utiliza para abrir puertos peligrosos en instancias, como el puerto 22, por ejemplo:

Direcciones IP Elásticas

Una Dirección IP Elástica es una dirección IPv4 estática diseñada para la computación en la nube dinámica. Una Dirección IP Elástica se asigna a tu cuenta de AWS y es tuya hasta que la liberes. Al usar una Dirección IP Elástica, puedes enmascarar la falla de una instancia o software al reasignar rápidamente la dirección a otra instancia en tu cuenta.

Conexión entre subredes

Por defecto, todas las subredes tienen la asignación automática de direcciones IP públicas desactivada, pero se puede activar.

Una ruta local dentro de una tabla de rutas permite la comunicación entre subredes de VPC.

Si estás conectando una subred con otra subred diferente, no puedes acceder a las subredes conectadas con la otra subred, necesitas crear conexión con ellas directamente. Esto también se aplica a los gateways de internet. No puedes pasar a través de una conexión de subred para acceder a internet, necesitas asignar el gateway de internet a tu subred.

Emparejamiento de VPC

El emparejamiento de VPC te permite conectar dos o más VPCs juntas, usando IPV4 o IPV6, como si fueran parte de la misma red.

Una vez que se establece la conectividad de emparejamiento, los recursos en una VPC pueden acceder a los recursos en la otra. La conectividad entre las VPCs se implementa a través de la infraestructura de red existente de AWS, por lo que es altamente disponible sin cuellos de botella de ancho de banda. Como las conexiones emparejadas operan como si fueran parte de la misma red, hay restricciones en cuanto a los rangos de bloques CIDR que se pueden utilizar.
Si tienes rangos CIDR superpuestos o duplicados para tu VPC, entonces no podrás emparejar las VPCs.
Cada VPC de AWS solo se comunicará con su par. Por ejemplo, si tienes una conexión de emparejamiento entre VPC 1 y VPC 2, y otra conexión entre VPC 2 y VPC 3 como se muestra, entonces VPC 1 y 2 podrían comunicarse entre sí directamente, al igual que VPC 2 y VPC 3, sin embargo, VPC 1 y VPC 3 no podrían. No puedes enrutar a través de una VPC para llegar a otra.

Registros de Flujo de VPC

Dentro de tu VPC, podrías tener potencialmente cientos o incluso miles de recursos comunicándose entre diferentes subredes tanto públicas como privadas y también entre diferentes VPCs a través de conexiones de emparejamiento de VPC. Los Registros de Flujo de VPC te permiten capturar información del tráfico IP que fluye entre las interfaces de red de tus recursos dentro de tu VPC.

A diferencia de los registros de acceso de S3 y los registros de acceso de CloudFront, los datos de registro generados por los Registros de Flujo de VPC no se almacenan en S3. En su lugar, los datos de registro capturados se envían a los registros de CloudWatch.

Limitaciones:

  • Si estás ejecutando una conexión de emparejamiento de VPC, entonces solo podrás ver los registros de flujo de las VPCs emparejadas que están dentro de la misma cuenta.
  • Si aún estás ejecutando recursos dentro del entorno EC2-Classic, entonces, desafortunadamente, no podrás recuperar información de sus interfaces.
  • Una vez que se ha creado un Registro de Flujo de VPC, no se puede cambiar. Para alterar la configuración del Registro de Flujo de VPC, necesitas eliminarlo y luego recrear uno nuevo.
  • El siguiente tráfico no es monitoreado ni capturado por los registros. Tráfico DHCP dentro de la VPC, tráfico de instancias destinado al Servidor DNS de Amazon.
  • Cualquier tráfico destinado a la dirección IP del enrutador predeterminado de la VPC y tráfico hacia y desde las siguientes direcciones, 169.254.169.254 que se utiliza para recopilar metadatos de instancias, y 169.254.169.123 que se utiliza para el Servicio de Sincronización de Tiempo de Amazon.
  • Tráfico relacionado con una licencia de activación de Windows de una instancia de Windows.
  • Tráfico entre una interfaz de balanceador de carga de red y una interfaz de red de punto final.

Para cada interfaz de red que publica datos en el grupo de registros de CloudWatch, se utilizará un flujo de registro diferente. Y dentro de cada uno de estos flujos, habrá datos de eventos de registro de flujo que muestran el contenido de las entradas de registro. Cada uno de estos registros captura datos durante una ventana de aproximadamente 10 a 15 minutos.

VPN

Componentes Básicos de AWS VPN

  1. Gateway del Cliente:
  • Un Gateway del Cliente es un recurso que creas en AWS para representar tu lado de una conexión VPN.
  • Es esencialmente un dispositivo físico o una aplicación de software en tu lado de la conexión VPN de Sitio a Sitio.
  • Proporcionas información de enrutamiento y la dirección IP pública de tu dispositivo de red (como un enrutador o un firewall) a AWS para crear un Gateway del Cliente.
  • Sirve como un punto de referencia para configurar la conexión VPN y no incurre en cargos adicionales.
  1. Gateway Virtual Privado:
  • Un Gateway Virtual Privado (VPG) es el concentrador VPN en el lado de Amazon de la conexión VPN de Sitio a Sitio.
  • Está adjunto a tu VPC y sirve como el objetivo para tu conexión VPN.
  • VPG es el punto final del lado de AWS para la conexión VPN.
  • Maneja la comunicación segura entre tu VPC y tu red local.
  1. Conexión VPN de Sitio a Sitio:
  • Una conexión VPN de Sitio a Sitio conecta tu red local a una VPC a través de un túnel VPN IPsec seguro.
  • Este tipo de conexión requiere un Gateway del Cliente y un Gateway Virtual Privado.
  • Se utiliza para una comunicación segura, estable y consistente entre tu centro de datos o red y tu entorno de AWS.
  • Típicamente se utiliza para conexiones regulares y a largo plazo y se factura según la cantidad de datos transferidos a través de la conexión.
  1. Punto Final de VPN del Cliente:
  • Un punto final de VPN del Cliente es un recurso que creas en AWS para habilitar y gestionar sesiones de VPN del cliente.
  • Se utiliza para permitir que dispositivos individuales (como laptops, smartphones, etc.) se conecten de forma segura a recursos de AWS o a tu red local.
  • Se diferencia de la VPN de Sitio a Sitio en que está diseñado para clientes individuales en lugar de conectar redes enteras.
  • Con la VPN del Cliente, cada dispositivo cliente utiliza un software cliente VPN para establecer una conexión segura.

VPN de Sitio a Sitio

Conecta tu red local con tu VPC.

  • Conexión VPN: Una conexión segura entre tu equipo local y tus VPCs.
  • Túnel VPN: Un enlace cifrado donde los datos pueden pasar desde la red del cliente hacia o desde AWS.

Cada conexión VPN incluye dos túneles VPN que puedes usar simultáneamente para alta disponibilidad.

  • Gateway del cliente: Un recurso de AWS que proporciona información a AWS sobre tu dispositivo de gateway del cliente.
  • Dispositivo de gateway del cliente: Un dispositivo físico o una aplicación de software en tu lado de la conexión VPN de Sitio a Sitio.
  • Gateway virtual privado: El concentrador VPN en el lado de Amazon de la conexión VPN de Sitio a Sitio. Utilizas un gateway virtual privado o un gateway de tránsito como el gateway para el lado de Amazon de la conexión VPN de Sitio a Sitio.
  • Gateway de tránsito: Un hub de tránsito que se puede utilizar para interconectar tus VPCs y redes locales. Utilizas un gateway de tránsito o un gateway virtual privado como el gateway para el lado de Amazon de la conexión VPN de Sitio a Sitio.

Limitaciones

  • El tráfico IPv6 no es compatible con conexiones VPN en un gateway virtual privado.
  • Una conexión VPN de AWS no admite el descubrimiento de MTU de ruta.

Además, ten en cuenta lo siguiente cuando utilices VPN de Sitio a Sitio.

  • Al conectar tus VPCs a una red local común, recomendamos que utilices bloques CIDR no superpuestos para tus redes.

VPN del Cliente

Conéctate desde tu máquina a tu VPC

Conceptos

  • Punto final de VPN del Cliente: El recurso que creas y configuras para habilitar y gestionar sesiones de VPN del cliente. Es el recurso donde se terminan todas las sesiones de VPN del cliente.
  • Red objetivo: Una red objetivo es la red que asocias con un punto final de VPN del Cliente. Una subred de una VPC es una red objetivo. Asociar una subred con un punto final de VPN del Cliente te permite establecer sesiones de VPN. Puedes asociar múltiples subredes con un punto final de VPN del Cliente para alta disponibilidad. Todas las subredes deben ser de la misma VPC. Cada subred debe pertenecer a una zona de disponibilidad diferente.
  • Ruta: Cada punto final de VPN del Cliente tiene una tabla de rutas que describe las rutas de red de destino disponibles. Cada ruta en la tabla de rutas especifica el camino para el tráfico hacia recursos o redes específicas.
  • Reglas de autorización: Una regla de autorización restringe a los usuarios que pueden acceder a una red. Para una red especificada, configuras el grupo de Active Directory o proveedor de identidad (IdP) que tiene permitido el acceso. Solo los usuarios que pertenecen a este grupo pueden acceder a la red especificada. Por defecto, no hay reglas de autorización y debes configurar reglas de autorización para habilitar a los usuarios a acceder a recursos y redes.
  • Cliente: El usuario final que se conecta al punto final de VPN del Cliente para establecer una sesión de VPN. Los usuarios finales necesitan descargar un cliente OpenVPN y usar el archivo de configuración de VPN del Cliente que creaste para establecer una sesión de VPN.
  • Rango CIDR del Cliente: Un rango de direcciones IP del cual asignar direcciones IP a los clientes. Cada conexión al punto final de VPN del Cliente se le asigna una dirección IP única del rango CIDR del cliente. Tú eliges el rango CIDR del cliente, por ejemplo, 10.2.0.0/16.
  • Puertos de VPN del Cliente: AWS Client VPN admite puertos 443 y 1194 tanto para TCP como para UDP. El predeterminado es el puerto 443.
  • Interfaces de red de VPN del Cliente: Cuando asocias una subred con tu punto final de VPN del Cliente, creamos interfaces de red de VPN del Cliente en esa subred. El tráfico que se envía a la VPC desde el punto final de VPN del Cliente se envía a través de una interfaz de red de VPN del Cliente. Luego se aplica la traducción de dirección de red de origen (SNAT), donde la dirección IP de origen del rango CIDR del cliente se traduce a la dirección IP de la interfaz de red de VPN del Cliente.
  • Registro de conexiones: Puedes habilitar el registro de conexiones para tu punto final de VPN del Cliente para registrar eventos de conexión. Puedes usar esta información para realizar análisis forenses, analizar cómo se está utilizando tu punto final de VPN del Cliente o depurar problemas de conexión.
  • Portal de autoservicio: Puedes habilitar un portal de autoservicio para tu punto final de VPN del Cliente. Los clientes pueden iniciar sesión en el portal basado en la web usando sus credenciales y descargar la última versión del archivo de configuración del punto final de VPN del Cliente, o la última versión del cliente proporcionado por AWS.

Limitaciones

  • Los rangos CIDR del Cliente no pueden superponerse con el CIDR local de la VPC en la que se encuentra la subred asociada, o cualquier ruta añadida manualmente a la tabla de rutas del punto final de VPN del Cliente.
  • Los rangos CIDR del Cliente deben tener un tamaño de bloque de al menos /22 y no deben ser mayores que /12.
  • Una parte de las direcciones en el rango CIDR del cliente se utilizan para soportar el modelo de disponibilidad del punto final de VPN del Cliente, y no pueden ser asignadas a los clientes. Por lo tanto, recomendamos que asignes un bloque CIDR que contenga el doble de la cantidad de direcciones IP que se requieren para habilitar el máximo número de conexiones concurrentes que planeas soportar en el punto final de VPN del Cliente.
  • El rango CIDR del cliente no puede ser cambiado después de crear el punto final de VPN del Cliente.
  • Las subredes asociadas con un punto final de VPN del Cliente deben estar en la misma VPC.
  • No puedes asociar múltiples subredes de la misma Zona de Disponibilidad con un punto final de VPN del Cliente.
  • Un punto final de VPN del Cliente no admite asociaciones de subredes en una VPC de tenencia dedicada.
  • La VPN del Cliente admite tráfico IPv4 únicamente.
  • La VPN del Cliente no es compatible con los Estándares Federales de Procesamiento de Información (FIPS).
  • Si la autenticación multifactor (MFA) está desactivada para tu Active Directory, una contraseña de usuario no puede estar en el siguiente formato.
SCRV1:<base64_encoded_string>:<base64_encoded_string>
  • El portal de autoservicio no está disponible para clientes que se autentican utilizando autenticación mutua.

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks