Az - Azure नेटवर्क

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

सदस्यता योजनाओं की जांच करें!

हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**

हैकिंग ट्रिक्स साझा करें, PRs को HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में सबमिट करके।

बुनियादी जानकारी

Azure उपयोगकर्ताओं को virtual networks (VNet) प्रदान करता है जो Azure क्लाउड के भीतर आइसोलेटेड नेटवर्क बनाने की अनुमति देता है। इन VNets के भीतर, resources जैसे कि Virtual Machines, applications, databases… को सुरक्षित रूप से होस्ट और मैनेज किया जा सकता है। Azure में नेटवर्किंग क्लाउड के भीतर संचार (Azure services के बीच) और बाहरी नेटवर्क्स और इंटरनेट से कनेक्शन दोनों का समर्थन करती है।
इसके अलावा, VNets को अन्य VNets और on-premise नेटवर्क्स के साथ connect करना भी संभव है।

Virtual Network (VNet) & Subnets

एक Azure Virtual Network (VNet) आपके क्लाउड में आपके अपने नेटवर्क का प्रतिनिधित्व है, जो आपकी subscription के लिए समर्पित Azure पर्यावरण के भीतर तर्कसंगत अलगाव (logical isolation) प्रदान करता है। VNets आपको Azure में virtual private networks (VPNs) provision और manage करने की अनुमति देते हैं, और उन पर Virtual Machines (VMs), databases, और application services जैसे resources होस्ट किए जा सकते हैं। वे IP address ranges, subnet creation, route tables, और network gateways सहित network settings पर पूर्ण नियंत्रण प्रदान करते हैं।

Subnets VNet के भीतर विभाजन होते हैं, जिन्हें विशिष्ट IP address ranges द्वारा परिभाषित किया जाता है। एक VNet को कई subnets में विभाजित करके, आप अपनी network architecture के अनुसार resources को व्यवस्थित और सुरक्षित कर सकते हैं।
डिफ़ॉल्ट रूप से, एक ही Azure Virtual Network (VNet) के भीतर सभी subnets के बीच bina kisi restriction ke एक-दूसरे से संचार संभव है।

Example:

MyVNet with an IP address range of 10.0.0.0/16.
Subnet-1: 10.0.0.0/24 वेब सर्वरों के लिए।
Subnet-2: 10.0.1.0/24 डेटाबेस सर्वरों के लिए।

Enumeration

Azure खाते में सभी VNets और subnets को सूचीबद्ध करने के लिए, आप Azure Command-Line Interface (CLI) का उपयोग कर सकते हैं। यहाँ चरण दिए गए हैं:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}"

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

# List VNets
Get-AzVirtualNetwork | Select-Object Name, Location, @{Name="AddressSpace"; Expression={$_.AddressSpace.AddressPrefixes}}

# List subnets of a VNet
Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName> |
Select-Object -ExpandProperty Subnets |
Select-Object Name, AddressPrefix

Network Security Groups (NSG)

एक Network Security Group (NSG) Azure Virtual Network (VNet) के भीतर Azure resources के लिए आने और बाहर जाने वाले नेटवर्क ट्रैफ़िक को फ़िल्टर करता है। यह कुछ security rules रखता है जो स्रोत पोर्ट, स्रोत IP, गंतव्य पोर्ट के आधार पर यह निर्धारित कर सकती हैं कि इनबाउंड और आउटबाउंड ट्रैफ़िक के लिए कौन से पोर्ट खोलने हैं, और प्राथमिकता असाइन करना संभव होता है (प्राथमिकता संख्या जितनी कम, प्राथमिकता उतनी अधिक)।

NSGs को subnets और NICs. के साथ जोड़ा जा सकता है।

नियमों का उदाहरण:

एक इनबाउंड नियम जो किसी भी स्रोत से आपकी वेब सर्वरों तक HTTP ट्रैफ़िक (port 80) की अनुमति देता है।
एक आउटबाउंड नियम जो केवल SQL ट्रैफ़िक (port 1433) को एक विशिष्ट गंतव्य IP address रेंज तक अनुमति देता है।

एन्यूमरेशन

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table
az network nsg show --name <nsg-name>

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

# Get NICs and subnets using this NSG
az network nsg show --name <NSGName> --resource-group <ResourceGroupName> --query "{subnets: subnets, networkInterfaces: networkInterfaces}"

# List NSGs
Get-AzNetworkSecurityGroup | Select-Object Name, Location
Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>

# Get NSG rules
Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName> |
Select-Object -ExpandProperty SecurityRules |
Select-Object Name, Priority, Direction, Access, Protocol, SourceAddressPrefix, DestinationAddressPrefix, SourcePortRange, DestinationPortRange

# Get NICs and subnets using this NSG
(Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>).Subnets
(Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>).NetworkInterfaces

Azure Firewall

Azure Firewall एक प्रबंधित, stateful firewall है जो east-west और north-south flows के लिए ट्रैफिक (L3–L7) को फिल्टर करता है। VNet स्तर पर तैनात, यह सभी subnets के लिए निरीक्षण को केंद्रीकृत करता है और उपलब्धता के लिए auto-scales करता है।

Available SKUs: Basic, Standard, and Premium:

मानदंड/फ़ीचर	Option 1	Option 2	Option 3
अनुशंसित उपयोग मामला	सीमित आवश्यकताओं वाले छोटे/मध्यम व्यवसाय (SMBs)	सामान्य एंटरप्राइज़ उपयोग, Layer 3–7 filtering	अत्यधिक संवेदनशील वातावरण (उदा., भुगतान प्रसंस्करण)
प्रदर्शन	250 Mbps तक throughput	30 Gbps तक throughput	100 Gbps तक throughput
Threat Intelligence	केवल alerts	Alerts और blocking (malicious IPs/domains)	Alerts और blocking (advanced threat intelligence)
L3–L7 Filtering	Basic filtering	Stateful filtering across protocols	Stateful filtering with advanced inspection
Advanced Threat Protection	उपलब्ध नहीं	Threat intelligence-आधारित filtering	Intrusion Detection and Prevention System (IDPS) शामिल है
TLS Inspection	उपलब्ध नहीं	उपलब्ध नहीं	inbound/outbound TLS termination का समर्थन
Availability	Fixed backend (2 VMs)	Autoscaling	Autoscaling
Ease of Management	Basic controls	Firewall Manager के माध्यम से प्रबंधित	Firewall Manager के माध्यम से प्रबंधित

Enumeration

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# List Azure Firewalls
Get-AzFirewall

# Get network rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).NetworkRuleCollections

# Get application rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).ApplicationRuleCollections

# Get nat rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).NatRuleCollections

Azure रूट टेबल

Azure Route Tables (UDR) आपको डिफ़ॉल्ट रूटिंग को ओवरराइड करने देती हैं — गंतव्य प्रिफिक्स (उदा., 10.0.0.0/16 या 0.0.0.0/0) और एक next hop (Virtual Network, Internet, Virtual Network Gateway, or Virtual Appliance) परिभाषित करके।

रूट्स सबनेट स्तर पर लागू होते हैं; उस सबनेट के सभी VMs तालिका का पालन करते हैं।

उदाहरण:

इंटरनेट-बाउंड ट्रैफ़िक के लिए, डिफ़ॉल्ट 0.0.0.0/0 का उपयोग करें और next hop के रूप में Internet रखें।
आउटबाउंड ट्रैफ़िक का निरीक्षण करने के लिए, 0.0.0.0/0 को एक Network Virtual Appliance (NVA) IP पर रूट करें।

एन्यूमरेशन

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List routes for a table (summary)
az network route-table route list --resource-group <ResourceGroupName> --route-table-name <RouteTableName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

# List routes for a table (full)
az network route-table route list --resource-group <ResourceGroupName> --route-table-name <RouteTableName>

# List Route Tables
Get-AzRouteTable

# List routes for a table
(Get-AzRouteTable -Name <RouteTableName> -ResourceGroupName <ResourceGroupName>).Routes

Azure Private Link

Azure Private Link Azure में एक सेवा है जो Azure सेवाओं तक निजी पहुँच सक्षम करती है — यह सुनिश्चित करके कि आपके Azure virtual network (VNet) और सेवा के बीच का ट्रैफिक पूरी तरह से Microsoft’s Azure बैकबोन नेटवर्क के भीतर ही यात्रा करे। यह प्रभावी रूप से सेवा को आपके VNet में लाता है। यह सेटअप डेटा को सार्वजनिक इंटरनेट पर उजागर न करके सुरक्षा बढ़ाता है।

Private Link को विभिन्न Azure सेवाओं के साथ उपयोग किया जा सकता है, जैसे Azure Storage, Azure SQL Database, और Private Link के माध्यम से साझा की गई कस्टम सेवाएँ। यह आपके अपने VNet के भीतर या अलग Azure subscriptions से सेवाओं को सुरक्षित रूप से उपयोग करने का एक सुरक्षित तरीका प्रदान करता है।

Caution

NSGs private endpoints पर लागू नहीं होते हैं, जिसका स्पष्ट अर्थ है कि उस subnet के साथ एक NSG को असाइन करना जिसमें Private Link मौजूद है, का कोई प्रभाव नहीं होगा।

उदाहरण:

एक परिदृश्य मानिये जहाँ आपके पास एक Azure SQL Database है जिसे आप अपने VNet से सुरक्षित रूप से पहुँचाना चाहते हैं। सामान्यतः इसके लिए सार्वजनिक इंटरनेट को पार करना पड़ सकता है। Private Link के साथ, आप अपने VNet में एक private endpoint बना सकते हैं जो सीधे Azure SQL Database service से जुड़ता है। यह endpoint database को ऐसा दिखाता है जैसे वह आपके अपने VNet का हिस्सा हो, private IP address के माध्यम से पहुँचने योग्य, इस प्रकार सुरक्षित और निजी पहुँच सुनिश्चित होती है।

Enumeration

# List Private Link Services
az network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

# List Private Link Services
Get-AzPrivateLinkService | Select-Object Name, Location, ResourceGroupName

# List Private Endpoints
Get-AzPrivateEndpoint | Select-Object Name, Location, ResourceGroupName, PrivateEndpointConnections

DNS OverDoS via service Private DNS zone links

जब किसी VNet में एक Virtual Network Link किसी service Private DNS zone (उदा., privatelink.blob.core.windows.net) से जुड़ा होता है, तो Azure उस zone के माध्यम से उस सेवा प्रकार के Private Link में रजिस्टर्ड resources के लिए hostname resolution को अनिवार्य करता है। यदि zone में उस resource के लिए आवश्यक A record मौजूद नहीं है और वर्कलोड्स अभी भी उसके public endpoint के माध्यम से एक्सेस कर रहे हैं, तो DNS resolution NXDOMAIN लौटाता है और क्लाइंट कभी भी public IP तक नहीं पहुँचते, जिससे resource को छुए बिना ही एक availability DoS होता है।

Abuse flow (control-plane DoS):

ऐसा RBAC हासिल करें जो Private Endpoints बनाने या Private DNS zone links बदलने की अनुमति देता हो।
उसी सेवा प्रकार के लिए एक Private Endpoint एक दूसरे VNet में बनाएं (Azure स्वतः ही service Private DNS zone बनाता है और उसे उस VNet से लिंक कर देता है)।
उस service Private DNS zone को पीड़ित VNet से लिंक करें।
चूंकि पीड़ित VNet अब Private DNS zone के माध्यम से resolution को अनिवार्य करता है और उस zone में target resource के लिए कोई A record मौजूद नहीं है, नाम समाधान विफल हो जाता है और वर्कलोड (जो अभी भी public है) endpoint तक नहीं पहुँच पाती। यह किसी भी Private Link–supported service पर लागू होता है (storage, Key Vault, ACR, Cosmos DB, Function Apps, OpenAI, आदि)।

Discovery at scale (Azure Resource Graph):

blob Private DNS zone से लिंक VNETs (PL-registered blob endpoints के लिए forced resolution):

resources
| where type == "microsoft.network/privatednszones/virtualnetworklinks"
| extend
zone = tostring(split(id, "/virtualNetworkLinks")[0]),
vnetId = tostring(properties.virtualNetwork.id)
| join kind=inner (
resources
| where type == "microsoft.network/privatednszones"
| where name == "privatelink.blob.core.windows.net"
| project zoneId = id
) on $left.zone == $right.zoneId
| project vnetId

Storage accounts सार्वजनिक endpoint के माध्यम से पहुँच योग्य हैं लेकिन बिना Private Endpoint कनेक्शनों के (ऊपर दिया गया लिंक जोड़ने पर संभवतः टूट सकता है):

Resources
| where type == "microsoft.storage/storageaccounts"
| extend publicNetworkAccess = properties.publicNetworkAccess
| extend defaultAction = properties.networkAcls.defaultAction
| extend vnetRules = properties.networkAcls.virtualNetworkRules
| extend ipRules = properties.networkAcls.ipRules
| extend privateEndpoints = properties.privateEndpointConnections
| where publicNetworkAccess == "Enabled"
| where defaultAction == "Deny"
| where (isnull(privateEndpoints) or array_length(privateEndpoints) == 0)
| extend allowedVnets = iif(isnull(vnetRules), 0, array_length(vnetRules))
| extend allowedIps = iif(isnull(ipRules), 0, array_length(ipRules))
| where allowedVnets > 0 or allowedIps > 0
| project id, name, vnetRules, ipRules

Azure Service Endpoints

Azure Service Endpoints आपके virtual network के private address space और आपके VNet की identity को Azure services तक एक direct connection के माध्यम से विस्तारित करते हैं। Service endpoints को सक्षम करके, आपके VNet के resources सुरक्षित रूप से Azure services से कनेक्ट कर सकते हैं, जैसे Azure Storage और Azure SQL Database, Azure backbone network के माध्यम से। यह विशेष रूप से उपयोगी होता है जब ट्रैफिक को सूक्ष्म स्तर पर नियंत्रित करने के लिए Network Security Groups (NSGs) के साथ मिलाया जाता है।

उदाहरण:

With Storage Account and Service Endpoint enabled in a VNET, यह संभव है कि inbound traffic को storage account firewall में केवल किसी VNET से ही अनुमति दी जाए, जिससे storage service के लिए public IP access की आवश्यकता के बिना एक secure connection लागू किया जा सके।

Service Endpoints सेवाओं के लिए private IP addresses की आवश्यकता नहीं रखते और इसके बजाय secure connectivity के लिए Azure backbone पर निर्भर करते हैं। इन्हें Private Links की तुलना में सेटअप करना आसान होता है, पर ये Private Links जितना अलगाव और सूक्ष्म नियंत्रण प्रदान नहीं करते।

Enumeration

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}"

# List Service Endpoints for a Subnet
az network vnet subnet show --resource-group <ResourceGroupName> --vnet-name <VNetName> --name <SubnetName> --query "serviceEndpoints"

# List Virtual Networks with Service Endpoints
Get-AzVirtualNetwork

# List Subnets with Service Endpoints
(Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName>).Subnets

Service Endpoints और Private Links के बीच अंतर

Microsoft docs में Private Links का उपयोग करने की सिफारिश करता है:

Service Endpoints:

आपके VNet से Azure service तक का ट्रैफ़िक Microsoft Azure backbone नेटवर्क के माध्यम से जाता है, जो public internet को बाइपास करता है।
Endpoint Azure service के लिए एक डायरेक्ट कनेक्शन है और VNet के भीतर service के लिए कोई private IP प्रदान नहीं करता।
जब तक आप service firewall को ऐसे ट्रैफ़िक को ब्लॉक करने के लिए कॉन्फ़िगर नहीं करते, service स्वयं अभी भी आपके VNet के बाहर से उसके public endpoint के माध्यम से पहुँच योग्य है।
यह subnet और Azure service के बीच एक-से-एक संबंध होता है।
Private Links की तुलना में कम खर्चीला।

Private Links:

Private Link Azure services को आपके VNet में एक private endpoint के माध्यम से मैप करता है, जो कि आपके VNet के भीतर एक private IP address वाला network interface होता है।
Azure service तक इस private IP address का उपयोग करके पहुँच की जाती है, जिससे यह ऐसा लगता है मानो यह आपके नेटवर्क का हिस्सा हो।
Private Link के माध्यम से जुड़े services केवल आपके VNet या जुड़े नेटवर्क्स से ही पहुँच योग्य होते हैं; service तक public internet की कोई पहुँच नहीं होती।
यह Azure services या आपके स्वयं के Azure में होस्ट किए गए services के लिए एक secure कनेक्शन सक्षम करता है, साथ ही दूसरों द्वारा साझा किए गए services से कनेक्शन भी।
यह आपके VNet में एक private endpoint के माध्यम से अधिक ग्रैन्युलर access control प्रदान करता है, जबकि service endpoints के साथ access control subnet स्तर पर अधिक व्यापक होता है।

सारांश में, जबकि दोनों Service Endpoints और Private Links Azure services के लिए secure connectivity प्रदान करते हैं, Private Links अधिक उच्च स्तर की isolation और सुरक्षा प्रदान करते हैं क्योंकि वे सुनिश्चित करते हैं कि services को private तरीके से एक्सेस किया जाए बिना उन्हें public internet के सामने लाए। दूसरी ओर, Service Endpoints सामान्य मामलों के लिए सेटअप करने में आसान होते हैं जहाँ VNet में किसी private IP की आवश्यकता के बिना Azure services तक सरल, secure पहुँच की आवश्यकता होती है।

Azure Front Door (AFD) & AFD WAF

Azure Front Door आपके global web applications की तेज़ डिलीवरी के लिए एक scalable और secure entry point है। यह application acceleration, SSL offloading, और application layer security (Web Application Firewall - WAF के माध्यम से) जैसे विभिन्न सेवाओं को एक साथ मिलाता है। यह आपके applications को उपयोगकर्ताओं के करीब लाने के लिए दुनिया भर में edge POP (Point of Presence) स्थानों की अवधारणा पर निर्मित है।

Azure Front Door वैश्विक रूप से वितरित edge locations का नेटवर्क प्रदान करता है ताकि आपके web applications (Azure में या अन्यत्र) के लिए आने वाले ट्रैफ़िक को route और accelerate किया जा सके, performance बेहतर हो, और सुरक्षा बढ़े।

उदाहरण:

वैश्विक उपयोगकर्ताओं वाले एक global e-commerce प्लेटफ़ॉर्म के लिए, Azure Front Door edge locations पर static content को cache कर सकता है और SSL offloading प्रदान कर सकता है, जिससे latency घटती है और उपयोगकर्ता अनुभव अधिक responsive होता है। अतिरिक्त रूप से, यह आपके applications को आम web vulnerabilities (जैसे SQL injection या XSS) से बचाने के लिए WAF भी प्रदान करता है।

Azure Front Door स्वास्थ्य probes और latency के आधार पर ट्रैफ़िक को निकटतम उपलब्ध backend पर रूट करके smart load balancing भी प्रदान करता है, जिससे consistent performance और availability सुनिश्चित होती है। WAF को इंटीग्रेट करके, यह सामान्य web threats से सुरक्षा में मदद करता है।

Enumeration

# List Azure Front Door profiles
az afd profile list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List AFD endpoints
az afd endpoint list --profile-name <ProfileName> --resource-group <ResourceGroupName> --query "[].{name:name, hostName:hostName, state:resourceState}" -o table

# Classic Azure Front Door (v1) profiles
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# Classic Azure Front Door WAF policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Azure Front Door profiles
Get-AzFrontDoorCdnProfile | Select-Object Name, Location, ResourceGroupName

# List AFD endpoints
Get-AzFrontDoorCdnEndpoint -ProfileName <ProfileName> -ResourceGroupName <ResourceGroupName> | Select-Object Name, HostName, ResourceState

# Classic Azure Front Door (v1) profiles
Get-AzFrontDoor

# Classic Azure Front Door WAF policies
Get-AzFrontDoorWafPolicy -Name <policyName> -ResourceGroupName <resourceGroupName>

Azure Application Gateway और Azure Application Gateway WAF

Azure Application Gateway एक वेब ट्रैफ़िक लोड बैलेंसर है जो आपको आपके वेब अनुप्रयोगों के ट्रैफ़िक को प्रबंधित करने में सक्षम बनाता है। यह Application Delivery Controller (ADC) के रूप में सर्विस में Layer 7 load balancing, SSL termination, और web application firewall (WAF) capabilities प्रदान करता है। मुख्य विशेषताओं में URL-based routing, cookie-based session affinity, और secure sockets layer (SSL) offloading शामिल हैं, जो उन अनुप्रयोगों के लिए आवश्यक हैं जिन्हें global routing और path-based routing जैसी जटिल load-balancing क्षमताओं की आवश्यकता होती है।

उदाहरण:

मान लीजिए आपके पास एक e-commerce वेबसाइट है जिसमें अलग-अलग कार्यों के लिए कई subdomains हैं, जैसे user accounts और payment processing। Azure Application Gateway URL path के आधार पर उपयुक्त web servers को ट्रैफ़िक रूट कर सकता है। उदाहरण के लिए, example.com/accounts का ट्रैफ़िक user accounts सेवा की ओर भेजा जा सकता है, और example.com/pay का ट्रैफ़िक payment processing सेवा की ओर भेजा जा सकता है.
और WAF क्षमताओं का उपयोग करके आपकी वेबसाइट को हमलों से बचाता है।

Enumeration

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

# List the Web Application Firewall configurations for your Application Gateways
(Get-AzApplicationGateway -Name <AppGatewayName> -ResourceGroupName <ResourceGroupName>).WebApplicationFirewallConfiguration

VNet Peering & HUB and Spoke टोपोलॉजीज़

VNet Peering

VNet Peering Azure में एक फीचर है जो अलग-अलग Virtual Networks (VNets) को सीधे और निर्बाध रूप से जोड़ने की अनुमति देता है। VNet peering के माध्यम से, एक VNet के resources दूसरे VNet के resources के साथ private IP addresses का उपयोग करके संवाद कर सकते हैं, जैसे वे एक ही नेटवर्क में हों.
VNet Peering को on-prem networks के साथ भी उपयोग किया जा सकता है site-to-site VPN या Azure ExpressRoute सेटअप करके।

Azure Hub and Spoke एक नेटवर्क आर्किटेक्चर है जो VNet peering का उपयोग करके एक केंद्रीय Hub VNet बनाता है जो कई Spoke VNets से जुड़ता है। Hub आमतौर पर साझा services (जैसे firewalls, DNS, या Active Directory) रखता है जबकि spokes पर application workloads होस्ट होते हैं। यह डिज़ाइन प्रबंधन को सरल बनाता है, centralized controls के माध्यम से सुरक्षा बढ़ाता है, और redundancy को कम करता है।

उदाहरण:

एक बड़ी enterprise जिसके कई departments (Finance, HR, IT) हैं, वे Hub VNet with shared services जैसे firewalls और DNS servers बना सकते हैं। हर department की अपनी Spoke VNet हो सकती है जो peering के माध्यम से Hub से जुड़ती है। इससे departments सुरक्षित रूप से संवाद कर सकते हैं और shared services का उपयोग कर सकते हैं बिना अपने resources को public internet के सामने उजागर किए।

Enumeration

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet Peerings
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, remoteVnetId:remoteVirtualNetwork.id, allowForwardedTraffic:allowForwardedTraffic, allowGatewayTransit:allowGatewayTransit}"

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List all VNets in your subscription
Get-AzVirtualNetwork

# List VNet Peerings
Get-AzVirtualNetworkPeering -ResourceGroupName <ResourceGroupName> -VirtualNetworkName <VNetName>

# List Shared Resources (e.g., Azure Firewall) in the Hub
Get-AzFirewall

Site-to-Site VPN

Azure में एक Site-to-Site VPN आपके ऑन-प्रिमाइसेस नेटवर्क और आपके Azure Virtual Network (VNet) के बीच एक सुरक्षित और स्थायी कनेक्शन स्थापित करता है, जिससे Azure के भीतर VMs जैसे संसाधन आपके लोकल नेटवर्क पर होने जैसा दिखाई देते हैं। यह कनेक्शन दोनों नेटवर्क्स के बीच ट्रैफ़िक को एन्क्रिप्ट करने वाले VPN gateway के माध्यम से स्थापित किया जाता है।

उदाहरण:

New York में मुख्य कार्यालय वाला एक व्यवसाय जिसका एक ऑन-प्रिमाइसेस data center है, उसे अपने Azure में मौजूद VNet से सुरक्षित रूप से कनेक्ट होने की आवश्यकता है, जो उसके virtualized workloads होस्ट करता है। Site-to-Site VPN सेटअप करके, कंपनी ऑन-प्रिमाइसेस सर्वरों और Azure VMs के बीच एन्क्रिप्टेड कनेक्टिविटी सुनिश्चित कर सकती है, जिससे संसाधन दोनों वातावरणों में सुरक्षित रूप से एक्सेस किए जा सकते हैं जैसे वे एक ही लोकल नेटवर्क में हों।

Enumeration

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

# List VPN Gateways
Get-AzVirtualNetworkGateway -ResourceGroupName <ResourceGroupName>

# List VPN Connections
Get-AzVirtualNetworkGatewayConnection -ResourceGroupName <ResourceGroupName>

Azure ExpressRoute

Azure ExpressRoute एक सेवा है जो आपके ऑन-प्रिमाइसेस अवसंरचना और Azure data centers के बीच एक प्राइवेट, समर्पित, उच्च-गति कनेक्शन प्रदान करती है। यह कनेक्शन एक कनेक्टिविटी प्रोवाइडर के माध्यम से स्थापित होता है, सार्वजनिक इंटरनेट को बायपास करते हुए सामान्य इंटरनेट कनेक्शनों की तुलना में अधिक विश्वसनीयता, तेज़ स्पीड, कम विलंबता, और उच्च सुरक्षा प्रदान करता है।

उदाहरण:

एक बहुराष्ट्रीय कंपनी को उच्च डेटा वॉल्यूम के कारण और उच्च थ्रूपुट की आवश्यकता के चलते अपनी Azure services के लिए सतत और भरोसेमंद कनेक्शन की आवश्यकता होती है। कंपनी सीधे अपने ऑन-प्रिमाइसेस डेटा सेंटर को Azure से जोड़ने के लिए Azure ExpressRoute चुनती है, जिससे बड़े पैमाने पर डेटा ट्रांसफर — जैसे दैनिक बैकअप और रियल-टाइम डेटा एनालिटिक्स — बेहतर गोपनीयता और गति के साथ संभव हो जाता है।

Enumeration

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table

# List ExpressRoute Circuits
Get-AzExpressRouteCircuit

संदर्भ

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

सदस्यता योजनाओं की जांच करें!

हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**

हैकिंग ट्रिक्स साझा करें, PRs को HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में सबमिट करके।