Az - Azure Network

Reading time: 21 minutes

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

सदस्यता योजनाओं की जांच करें!
हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
हैकिंग ट्रिक्स साझा करें, PRs को HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में सबमिट करके।

Basic Information

Azure वर्चुअल नेटवर्क (VNet) प्रदान करता है जो उपयोगकर्ताओं को Azure क्लाउड के भीतर अलग नेटवर्क बनाने की अनुमति देता है। इन VNets के भीतर, संसाधन जैसे वर्चुअल मशीन, अनुप्रयोग, डेटाबेस... को सुरक्षित रूप से होस्ट और प्रबंधित किया जा सकता है। Azure में नेटवर्किंग क्लाउड के भीतर (Azure सेवाओं के बीच) संचार और बाहरी नेटवर्क और इंटरनेट से कनेक्शन दोनों का समर्थन करती है।
इसके अलावा, VNets को अन्य VNets और ऑन-प्रिमाइस नेटवर्क के साथ जोड़ना संभव है।

Virtual Network (VNET) & Subnets

Azure वर्चुअल नेटवर्क (VNet) आपके अपने नेटवर्क का प्रतिनिधित्व है जो क्लाउड में, आपके सब्सक्रिप्शन के लिए समर्पित Azure वातावरण के भीतर तार्किक अलगाव प्रदान करता है। VNets आपको Azure में वर्चुअल प्राइवेट नेटवर्क (VPNs) को प्रावधान और प्रबंधित करने की अनुमति देते हैं, जो वर्चुअल मशीन (VMs), डेटाबेस, और अनुप्रयोग सेवाओं जैसे संसाधनों को होस्ट करते हैं। वे नेटवर्क सेटिंग्स पर पूर्ण नियंत्रण प्रदान करते हैं, जिसमें IP पता रेंज, सबनेट निर्माण, रूट तालिकाएँ, और नेटवर्क गेटवे शामिल हैं।

सबनेट एक VNet के भीतर उप-विभाजन हैं, जिन्हें विशिष्ट IP पता रेंज द्वारा परिभाषित किया गया है। एक VNet को कई सबनेट में विभाजित करके, आप अपने नेटवर्क आर्किटेक्चर के अनुसार संसाधनों को व्यवस्थित और सुरक्षित कर सकते हैं।
डिफ़ॉल्ट रूप से, एक ही Azure वर्चुअल नेटवर्क (VNet) के भीतर सभी सबनेट एक-दूसरे के साथ संवाद कर सकते हैं बिना किसी प्रतिबंध के।

उदाहरण:

MyVNet जिसमें IP पता रेंज 10.0.0.0/16 है।
Subnet-1: 10.0.0.0/24 वेब सर्वरों के लिए।
Subnet-2: 10.0.1.0/24 डेटाबेस सर्वरों के लिए।

Enumeration

Azure खाते में सभी VNets और सबनेट की सूची बनाने के लिए, आप Azure कमांड-लाइन इंटरफेस (CLI) का उपयोग कर सकते हैं। यहाँ कदम हैं:

bash

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}"

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

bash

# List VNets
Get-AzVirtualNetwork | Select-Object Name, Location, @{Name="AddressSpace"; Expression={$_.AddressSpace.AddressPrefixes}}

# List subnets of a VNet
Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName> |
Select-Object -ExpandProperty Subnets |
Select-Object Name, AddressPrefix

नेटवर्क सुरक्षा समूह (NSG)

एक नेटवर्क सुरक्षा समूह (NSG) Azure वर्चुअल नेटवर्क (VNet) के भीतर Azure संसाधनों के लिए नेटवर्क ट्रैफ़िक को फ़िल्टर करता है। इसमें सुरक्षा नियमों का एक सेट होता है जो इनबाउंड और आउटबाउंड ट्रैफ़िक के लिए कौन से पोर्ट खोलने हैं को स्रोत पोर्ट, स्रोत IP, पोर्ट गंतव्य द्वारा इंगित कर सकता है और इसे एक प्राथमिकता सौंपना संभव है (जितना कम प्राथमिकता संख्या, उतनी ही उच्च प्राथमिकता)।

NSGs को सबनेट और NICs से जोड़ा जा सकता है।

नियमों का उदाहरण:

एक इनबाउंड नियम जो किसी भी स्रोत से आपके वेब सर्वरों के लिए HTTP ट्रैफ़िक (पोर्ट 80) की अनुमति देता है।
एक आउटबाउंड नियम जो केवल एक विशिष्ट गंतव्य IP पते की सीमा के लिए SQL ट्रैफ़िक (पोर्ट 1433) की अनुमति देता है।

एन्यूमरेशन

bash

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table
az network nsg show --name <nsg-name>

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

# Get NICs and subnets using this NSG
az network nsg show --name MyLowCostVM-nsg --resource-group Resource_Group_1 --query "{subnets: subnets, networkInterfaces: networkInterfaces}"

bash

# List NSGs
Get-AzNetworkSecurityGroup | Select-Object Name, Location
Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>

# Get NSG rules
(Get-AzNetworkSecurityGroup -ResourceGroupName <NSGName> -Name <ResourceGroupName>).SecurityRules

# Get NICs and subnets using this NSG
(Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>).Subnets

Azure Firewall

Azure Firewall एक प्रबंधित नेटवर्क सुरक्षा सेवा है जो Azure में क्लाउड संसाधनों की सुरक्षा करती है, ट्रैफ़िक की जांच और नियंत्रण करके। यह एक स्टेटफुल फ़ायरवॉल है जो लेयर 3 से 7 के लिए नियमों के आधार पर ट्रैफ़िक को फ़िल्टर करता है, जो Azure के भीतर (east-west ट्रैफ़िक) और बाहरी नेटवर्कों के लिए/से (north-south ट्रैफ़िक) संचार का समर्थन करता है। इसे वर्चुअल नेटवर्क (VNet) स्तर पर तैनात किया गया है, जो VNet में सभी सबनेट्स के लिए केंद्रीकृत सुरक्षा प्रदान करता है। Azure Firewall स्वचालित रूप से ट्रैफ़िक की मांगों को संभालने के लिए स्केल करता है और मैनुअल सेटअप की आवश्यकता के बिना उच्च उपलब्धता सुनिश्चित करता है।

यह तीन SKUs में उपलब्ध है—बेसिक, स्टैंडर्ड, और प्रीमियम, प्रत्येक विशिष्ट ग्राहक आवश्यकताओं के लिए अनुकूलित:

Criteria/Feature	Option 1	Option 2	Option 3
Recommended Use Case	छोटे/मध्यम व्यवसाय (SMBs) जिनकी सीमित आवश्यकताएँ हैं	सामान्य उद्यम उपयोग, लेयर 3–7 फ़िल्टरिंग	अत्यधिक संवेदनशील वातावरण (जैसे, भुगतान प्रसंस्करण)
Performance	250 Mbps तक थ्रूपुट	30 Gbps तक थ्रूपुट	100 Gbps तक थ्रूपुट
Threat Intelligence	केवल अलर्ट	अलर्ट और ब्लॉकिंग (दुष्ट IPs/डोमेन)	अलर्ट और ब्लॉकिंग (उन्नत खतरा खुफिया)
L3–L7 Filtering	बुनियादी फ़िल्टरिंग	प्रोटोकॉल के बीच स्टेटफुल फ़िल्टरिंग	उन्नत निरीक्षण के साथ स्टेटफुल फ़िल्टरिंग
Advanced Threat Protection	उपलब्ध नहीं	खतरा खुफिया-आधारित फ़िल्टरिंग	घुसपैठ पहचान और रोकथाम प्रणाली (IDPS) शामिल है
TLS Inspection	उपलब्ध नहीं	उपलब्ध नहीं	इनबाउंड/आउटबाउंड TLS समाप्ति का समर्थन
Availability	निश्चित बैकएंड (2 VMs)	ऑटोस्केलिंग	ऑटोस्केलिंग
Ease of Management	बुनियादी नियंत्रण	फ़ायरवॉल प्रबंधक के माध्यम से प्रबंधित	फ़ायरवॉल प्रबंधक के माध्यम से प्रबंधित

Enumeration

bash

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

bash

# List Azure Firewalls
Get-AzFirewall

# Get network rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).NetworkRuleCollections

# Get application rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).ApplicationRuleCollections

# Get nat rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).NatRuleCollections

Azure रूट टेबल

Azure रूट टेबल का उपयोग नेटवर्क ट्रैफ़िक के रूटिंग को नियंत्रित करने के लिए किया जाता है। वे नियमों को परिभाषित करते हैं जो यह निर्दिष्ट करते हैं कि पैकेट्स को कैसे अग्रेषित किया जाना चाहिए, चाहे वह Azure संसाधनों, इंटरनेट, या किसी विशिष्ट अगले हॉप जैसे कि वर्चुअल एप्लायंस या Azure फ़ायरवॉल के लिए हो। आप एक सबनेट के साथ एक रूट टेबल को जोड़ सकते हैं, और उस सबनेट के भीतर सभी संसाधन तालिका में रूट का पालन करेंगे।

उदाहरण: यदि एक सबनेट में ऐसे संसाधन हैं जिन्हें निरीक्षण के लिए नेटवर्क वर्चुअल एप्लायंस (NVA) के माध्यम से आउटबाउंड ट्रैफ़िक को रूट करने की आवश्यकता है, तो आप एक रूट टेबल में एक रूट बना सकते हैं ताकि सभी ट्रैफ़िक (जैसे, 0.0.0.0/0) को NVA के निजी IP पते पर अगले हॉप के रूप में पुनर्निर्देशित किया जा सके।

गणना

bash

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List routes for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

bash

# List Route Tables
Get-AzRouteTable

# List routes for a table
(Get-AzRouteTable -Name <RouteTableName> -ResourceGroupName <ResourceGroupName>).Routes

Azure Private Link

Azure Private Link एक सेवा है जो Azure में Azure सेवाओं के लिए निजी पहुंच सक्षम करती है यह सुनिश्चित करके कि आपके Azure वर्चुअल नेटवर्क (VNet) और सेवा के बीच का ट्रैफ़िक पूरी तरह से Microsoft के Azure बैकबोन नेटवर्क के भीतर यात्रा करता है। यह प्रभावी रूप से सेवा को आपके VNet में लाता है। यह सेटअप सुरक्षा को बढ़ाता है क्योंकि यह डेटा को सार्वजनिक इंटरनेट के लिए उजागर नहीं करता है।

Private Link का उपयोग विभिन्न Azure सेवाओं के साथ किया जा सकता है, जैसे Azure Storage, Azure SQL Database, और कस्टम सेवाएं जो Private Link के माध्यम से साझा की जाती हैं। यह आपके अपने VNet के भीतर या यहां तक कि विभिन्न Azure सब्सक्रिप्शन से सेवाओं का उपभोग करने का एक सुरक्षित तरीका प्रदान करता है।

caution

NSGs निजी एंडपॉइंट्स पर लागू नहीं होते हैं, जिसका स्पष्ट अर्थ है कि Private Link वाले सबनेट के साथ NSG को जोड़ने का कोई प्रभाव नहीं होगा।

उदाहरण:

एक परिदृश्य पर विचार करें जहां आपके पास एक Azure SQL Database है जिसे आप अपने VNet से सुरक्षित रूप से एक्सेस करना चाहते हैं। सामान्यतः, इसमें सार्वजनिक इंटरनेट के माध्यम से यात्रा करना शामिल हो सकता है। Private Link के साथ, आप अपने VNet में एक निजी एंडपॉइंट बना सकते हैं जो सीधे Azure SQL Database सेवा से जुड़ता है। यह एंडपॉइंट डेटाबेस को इस तरह से प्रदर्शित करता है जैसे कि यह आपके अपने VNet का हिस्सा है, एक निजी IP पते के माध्यम से पहुंच योग्य है, इस प्रकार सुरक्षित और निजी पहुंच सुनिश्चित करता है।

Enumeration

bash

# List Private Link Services
az network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

bash

# List Private Link Services
Get-AzPrivateLinkService | Select-Object Name, Location, ResourceGroupName

# List Private Endpoints
Get-AzPrivateEndpoint | Select-Object Name, Location, ResourceGroupName, PrivateEndpointConnections

Azure सेवा एंडपॉइंट

Azure सेवा एंडपॉइंट आपके वर्चुअल नेटवर्क के निजी पते की जगह और आपके VNet की पहचान को Azure सेवाओं के लिए एक सीधे कनेक्शन के माध्यम से बढ़ाते हैं। सेवा एंडपॉइंट सक्षम करके, आपके VNet में संसाधन सुरक्षित रूप से Azure सेवाओं से कनेक्ट कर सकते हैं, जैसे Azure Storage और Azure SQL Database, Azure के बैकबोन नेटवर्क का उपयोग करते हुए। यह सुनिश्चित करता है कि VNet से Azure सेवा तक का ट्रैफ़िक Azure नेटवर्क के भीतर रहता है, जो एक अधिक सुरक्षित और विश्वसनीय मार्ग प्रदान करता है।

उदाहरण:

उदाहरण के लिए, एक Azure Storage खाता डिफ़ॉल्ट रूप से सार्वजनिक इंटरनेट पर सुलभ है। अपने VNet के भीतर Azure Storage के लिए एक सेवा एंडपॉइंट सक्षम करके, आप सुनिश्चित कर सकते हैं कि केवल आपके VNet से आने वाला ट्रैफ़िक स्टोरेज खाते तक पहुँच सकता है। फिर स्टोरेज खाता फ़ायरवॉल को इस तरह से कॉन्फ़िगर किया जा सकता है कि वह केवल आपके VNet से आने वाले ट्रैफ़िक को स्वीकार करे।

गणना

bash

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

bash

# List Virtual Networks with Service Endpoints
Get-AzVirtualNetwork

# List Subnets with Service Endpoints
(Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName>).Subnets

Service Endpoints और Private Links के बीच के अंतर

Microsoft docs में Private Links का उपयोग करने की सिफारिश करता है:

Service Endpoints:

आपके VNet से Azure सेवा तक का ट्रैफ़िक Microsoft Azure बैकबोन नेटवर्क के माध्यम से यात्रा करता है, सार्वजनिक इंटरनेट को बायपास करता है।
Endpoint Azure सेवा के लिए एक सीधा कनेक्शन है और VNet के भीतर सेवा के लिए एक निजी IP प्रदान नहीं करता है।
सेवा स्वयं आपके VNet के बाहर से इसके सार्वजनिक endpoint के माध्यम से अभी भी सुलभ है जब तक कि आप सेवा फ़ायरवॉल को ऐसे ट्रैफ़िक को ब्लॉक करने के लिए कॉन्फ़िगर नहीं करते।
यह सबनेट और Azure सेवा के बीच एक-से-एक संबंध है।
Private Links की तुलना में कम महंगा है।

Private Links:

Private Link Azure सेवाओं को आपके VNet में एक निजी endpoint के माध्यम से मैप करता है, जो आपके VNet के भीतर एक निजी IP पते के साथ एक नेटवर्क इंटरफेस है।
Azure सेवा को इस निजी IP पते का उपयोग करके एक्सेस किया जाता है, जिससे यह ऐसा प्रतीत होता है जैसे यह आपके नेटवर्क का हिस्सा है।
Private Link के माध्यम से जुड़े सेवाओं को केवल आपके VNet या जुड़े नेटवर्क से एक्सेस किया जा सकता है; सेवा के लिए कोई सार्वजनिक इंटरनेट एक्सेस नहीं है।
यह Azure सेवाओं या Azure में होस्ट की गई आपकी अपनी सेवाओं के लिए एक सुरक्षित कनेक्शन सक्षम करता है, साथ ही दूसरों द्वारा साझा की गई सेवाओं के लिए भी।
यह आपके VNet में एक निजी endpoint के माध्यम से अधिक सूक्ष्म पहुंच नियंत्रण प्रदान करता है, जबकि सेवा endpoints के साथ सबनेट स्तर पर व्यापक पहुंच नियंत्रण की तुलना में।

संक्षेप में, जबकि Service Endpoints और Private Links दोनों Azure सेवाओं के लिए सुरक्षित कनेक्टिविटी प्रदान करते हैं, Private Links एक उच्च स्तर की अलगाव और सुरक्षा प्रदान करते हैं यह सुनिश्चित करके कि सेवाओं को सार्वजनिक इंटरनेट के लिए उजागर किए बिना निजी रूप से एक्सेस किया जाता है। दूसरी ओर, Service Endpoints सामान्य मामलों के लिए सेट अप करना आसान है जहां Azure सेवाओं के लिए सरल, सुरक्षित पहुंच की आवश्यकता होती है बिना VNet में एक निजी IP की आवश्यकता के।

Azure Front Door (AFD) & AFD WAF

Azure Front Door आपके वैश्विक वेब अनुप्रयोगों के लिए तेज़ वितरण के लिए एक स्केलेबल और सुरक्षित प्रवेश बिंदु है। यह वैश्विक लोड बैलेंसिंग, साइट त्वरक, SSL ऑफ़लोडिंग, और वेब एप्लिकेशन फ़ायरवॉल (WAF) क्षमताओं जैसे विभिन्न सेवाओं को एकल सेवा में संयोजित करता है। Azure Front Door उपयोगकर्ता के लिए सबसे निकटतम एज स्थान के आधार पर बुद्धिमान रूटिंग प्रदान करता है, जिससे प्रदर्शन और विश्वसनीयता सुनिश्चित होती है। इसके अतिरिक्त, यह URL-आधारित रूटिंग, कई साइट होस्टिंग, सत्र संबंधी अनुकूलता, और एप्लिकेशन स्तर की सुरक्षा प्रदान करता है।

Azure Front Door WAF को वेब-आधारित हमलों से वेब अनुप्रयोगों की सुरक्षा के लिए डिज़ाइन किया गया है बिना बैक-एंड कोड में संशोधन किए। इसमें SQL इंजेक्शन, क्रॉस-साइट स्क्रिप्टिंग, और अन्य सामान्य हमलों जैसे खतरों से सुरक्षा के लिए कस्टम नियम और प्रबंधित नियम सेट शामिल हैं।

उदाहरण:

कल्पना करें कि आपके पास एक वैश्विक रूप से वितरित अनुप्रयोग है जिसमें दुनिया भर में उपयोगकर्ता हैं। आप Azure Front Door का उपयोग करके उपयोगकर्ता अनुरोधों को आपके अनुप्रयोग को होस्ट करने वाले निकटतम क्षेत्रीय डेटा केंद्र की ओर रूट कर सकते हैं, जिससे विलंबता कम होती है, उपयोगकर्ता अनुभव में सुधार होता है और WAF क्षमताओं के साथ वेब हमलों से इसकी रक्षा होती है। यदि किसी विशेष क्षेत्र में डाउनटाइम होता है, तो Azure Front Door स्वचालित रूप से ट्रैफ़िक को अगले सबसे अच्छे स्थान पर रीरूट कर सकता है, जिससे उच्च उपलब्धता सुनिश्चित होती है।

Enumeration

bash

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

bash

# List Azure Front Door Instances
Get-AzFrontDoor

# List Front Door WAF Policies
Get-AzFrontDoorWafPolicy -Name <policyName> -ResourceGroupName <resourceGroupName>

Azure Application Gateway और Azure Application Gateway WAF

Azure Application Gateway एक वेब ट्रैफिक लोड बैलेंसर है जो आपको अपने वेब अनुप्रयोगों के लिए ट्रैफिक प्रबंधित करने की अनुमति देता है। यह लेयर 7 लोड बैलेंसिंग, SSL टर्मिनेशन, और वेब एप्लिकेशन फ़ायरवॉल (WAF) क्षमताएँ Application Delivery Controller (ADC) के रूप में सेवा में प्रदान करता है। मुख्य विशेषताओं में URL-आधारित रूटिंग, कुकी-आधारित सत्र संबंध, और सुरक्षित सॉकेट्स लेयर (SSL) ऑफ़लोडिंग शामिल हैं, जो उन अनुप्रयोगों के लिए महत्वपूर्ण हैं जिन्हें जटिल लोड-बैलेंसिंग क्षमताओं की आवश्यकता होती है जैसे वैश्विक रूटिंग और पथ-आधारित रूटिंग।

उदाहरण:

एक परिदृश्य पर विचार करें जहाँ आपके पास एक ई-कॉमर्स वेबसाइट है जिसमें विभिन्न कार्यों के लिए कई उपडोमेन शामिल हैं, जैसे उपयोगकर्ता खाते और भुगतान प्रसंस्करण। Azure Application Gateway URL पथ के आधार पर उपयुक्त वेब सर्वरों की ओर ट्रैफिक रूट कर सकता है। उदाहरण के लिए, example.com/accounts पर ट्रैफिक को उपयोगकर्ता खातों की सेवा की ओर निर्देशित किया जा सकता है, और example.com/pay पर ट्रैफिक को भुगतान प्रसंस्करण सेवा की ओर निर्देशित किया जा सकता है।
और WAF क्षमताओं का उपयोग करके अपने वेबसाइट को हमलों से सुरक्षित करें।

Enumeration

bash

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

bash

# List the Web Application Firewall configurations for your Application Gateways
(Get-AzApplicationGateway -Name <AppGatewayName> -ResourceGroupName <ResourceGroupName>).WebApplicationFirewallConfiguration

Azure Hub, Spoke & VNet Peering

VNet Peering एक नेटवर्किंग फीचर है जो Azure में विभिन्न वर्चुअल नेटवर्क (VNets) को सीधे और निर्बाध रूप से जोड़ने की अनुमति देता है। VNet पीयरिंग के माध्यम से, एक VNet में संसाधन दूसरे VNet में संसाधनों के साथ निजी IP पते का उपयोग करके संवाद कर सकते हैं, जैसे कि वे एक ही नेटवर्क में हैं।
VNet Peering को ऑन-प्रेम नेटवर्क के साथ भी उपयोग किया जा सकता है साइट-टू-साइट VPN या Azure ExpressRoute सेट करके।

Azure Hub and Spoke एक नेटवर्क टोपोलॉजी है जिसका उपयोग Azure में नेटवर्क ट्रैफ़िक को प्रबंधित और व्यवस्थित करने के लिए किया जाता है। "हब" एक केंद्रीय बिंदु है जो विभिन्न "स्पोक्स" के बीच ट्रैफ़िक को नियंत्रित और रूट करता है। हब में आमतौर पर साझा सेवाएँ होती हैं जैसे नेटवर्क वर्चुअल एप्लायंसेस (NVAs), Azure VPN गेटवे, Azure फ़ायरवॉल, या Azure बैस्टियन। "स्पोक्स" वे VNets हैं जो कार्यभार होस्ट करते हैं और VNet पीयरिंग का उपयोग करके हब से जुड़े होते हैं, जिससे वे हब के भीतर साझा सेवाओं का लाभ उठा सकते हैं। यह मॉडल साफ नेटवर्क लेआउट को बढ़ावा देता है, जिससे जटिलता कम होती है क्योंकि यह विभिन्न VNets के बीच कई कार्यभारों द्वारा उपयोग की जाने वाली सामान्य सेवाओं को केंद्रीकृत करता है।

[!CAUTION] > Azure में VNET पेयरिंग गैर-परिवर्तनीय है, जिसका अर्थ है कि यदि स्पोक 1 स्पोक 2 से जुड़ा है और स्पोक 2 स्पोक 3 से जुड़ा है, तो स्पोक 1 सीधे स्पोक 3 से बात नहीं कर सकता।

उदाहरण:

कल्पना करें कि एक कंपनी में अलग-अलग विभाग हैं जैसे बिक्री, मानव संसाधन, और विकास, प्रत्येक के पास अपना खुद का VNet (स्पोक्स) है। इन VNets को साझा संसाधनों तक पहुँच की आवश्यकता है जैसे एक केंद्रीय डेटाबेस, एक फ़ायरवॉल, और एक इंटरनेट गेटवे, जो सभी दूसरे VNet (हब) में स्थित हैं। हब और स्पोक मॉडल का उपयोग करके, प्रत्येक विभाग हब VNet के माध्यम से साझा संसाधनों से सुरक्षित रूप से कनेक्ट कर सकता है बिना उन संसाधनों को सार्वजनिक इंटरनेट पर उजागर किए या कई कनेक्शनों के साथ एक जटिल नेटवर्क संरचना बनाए बिना।

Enumeration

bash

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

bash

# List all VNets in your subscription
Get-AzVirtualNetwork

# List VNet peering connections for a given VNet
(Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName>).VirtualNetworkPeerings

# List Shared Resources (e.g., Azure Firewall) in the Hub
Get-AzFirewall

साइट-से-साइट वीपीएन

Azure में एक साइट-से-साइट वीपीएन आपको अपने ऑन-प्रिमाइसेस नेटवर्क को अपने Azure वर्चुअल नेटवर्क (VNet) से कनेक्ट करने की अनुमति देता है, जिससे Azure के भीतर VMs जैसे संसाधन आपके स्थानीय नेटवर्क पर होने का आभास देते हैं। यह कनेक्शन एक वीपीएन गेटवे के माध्यम से स्थापित किया जाता है जो दोनों नेटवर्कों के बीच ट्रैफ़िक को एन्क्रिप्ट करता है।

उदाहरण:

एक व्यवसाय जिसका मुख्य कार्यालय न्यूयॉर्क में स्थित है, एक ऑन-प्रिमाइसेस डेटा सेंटर है जिसे Azure में अपने VNet से सुरक्षित रूप से कनेक्ट करने की आवश्यकता है, जो इसके वर्चुअलाइज्ड वर्कलोड्स को होस्ट करता है। एक साइट-से-साइट वीपीएन सेटअप करके, कंपनी ऑन-प्रिमाइसेस सर्वरों और Azure VMs के बीच एन्क्रिप्टेड कनेक्टिविटी सुनिश्चित कर सकती है, जिससे दोनों वातावरणों में संसाधनों को सुरक्षित रूप से एक्सेस किया जा सके जैसे कि वे एक ही स्थानीय नेटवर्क में हों।

गणना

bash

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

bash

# List VPN Gateways
Get-AzVirtualNetworkGateway -ResourceGroupName <ResourceGroupName>

# List VPN Connections
Get-AzVirtualNetworkGatewayConnection -ResourceGroupName <ResourceGroupName>

Azure ExpressRoute

Azure ExpressRoute एक सेवा है जो आपके ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर और Azure डेटा केंद्रों के बीच एक निजी, समर्पित, उच्च-गति कनेक्शन प्रदान करती है। यह कनेक्शन एक कनेक्टिविटी प्रदाता के माध्यम से बनाया जाता है, जो सार्वजनिक इंटरनेट को बायपास करता है और सामान्य इंटरनेट कनेक्शनों की तुलना में अधिक विश्वसनीयता, तेज गति, कम विलंबता और उच्च सुरक्षा प्रदान करता है।

उदाहरण:

एक बहुराष्ट्रीय निगम को उच्च मात्रा के डेटा और उच्च थ्रूपुट की आवश्यकता के कारण अपने Azure सेवाओं के लिए एक सुसंगत और विश्वसनीय कनेक्शन की आवश्यकता होती है। कंपनी अपने ऑन-प्रिमाइसेस डेटा केंद्र को Azure से सीधे कनेक्ट करने के लिए Azure ExpressRoute का विकल्प चुनती है, जिससे बड़े पैमाने पर डेटा ट्रांसफर, जैसे दैनिक बैकअप और वास्तविक समय डेटा एनालिटिक्स, को बेहतर गोपनीयता और गति के साथ सुगम बनाया जा सके।

Enumeration

bash

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table

bash

# List ExpressRoute Circuits
Get-AzExpressRouteCircuit

tip

HackTricks का समर्थन करें

सदस्यता योजनाओं की जांच करें!
हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
हैकिंग ट्रिक्स साझा करें, PRs को HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में सबमिट करके।

HackTricks Cloud