Az - Azure Network

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Temel Bilgiler

Azure, kullanıcıların Azure bulutu içinde izole virtual networks (VNet) oluşturmasına izin verir. Bu VNets içinde Virtual Machines, uygulamalar, veritabanları gibi kaynaklar güvenli bir şekilde barındırılabilir ve yönetilebilir. Azure’daki ağ yapılandırması hem bulut içi iletişimi (Azure servisleri arasındaki) hem de dış ağlara ve internete bağlantıyı destekler.
Ayrıca VNet’ler diğer VNet’lerle ve on-premise ağlarla bağlanabilir.

Virtual Network (VNET) & Subnets

Bir Azure Virtual Network (VNet), buluttaki kendi ağınızın temsili olup aboneliğinize ayrılmış Azure ortamında mantıksal izolasyon sağlar. VNets, Azure’da virtual private networks (VPNs) oluşturup yönetmenize, Virtual Machines (VMs), veritabanları ve uygulama servisleri gibi kaynakları barındırmanıza olanak tanır. Ayrıca IP address ranges, subnet creation, route tables ve network gateways dahil olmak üzere ağ ayarları üzerinde tam kontrol sağlarlar.

Subnets bir VNet içindeki alt bölümlerdir ve belirli IP address ranges ile tanımlanırlar. Bir VNet’i birden fazla subnet’e bölerek, ağ mimarinize göre kaynakları düzenleyebilir ve güvenliğini sağlayabilirsiniz.
Varsayılan olarak aynı Azure Virtual Network (VNet) içindeki tüm subnet’ler herhangi bir kısıtlama olmadan birbirleriyle iletişim kurabilir.

Örnek:

  • MyVNet with an IP address range of 10.0.0.0/16.
  • Subnet-1: 10.0.0.0/24 for web servers.
  • Subnet-2: 10.0.1.0/24 for database servers.

Keşif

Bir Azure hesabındaki tüm VNets ve subnets’i listelemek için Azure Command-Line Interface (CLI) kullanabilirsiniz. İşte adımlar:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}"

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

Ağ Güvenlik Grupları (NSG)

Bir Network Security Group (NSG), Azure Virtual Network (VNet) içindeki Azure kaynaklarına gelen ve kaynaklardan giden ağ trafiğini filtreler. Kaynak portu, kaynak IP, hedef port gibi ölçütlere göre gelen ve giden trafik için hangi portların açılacağını belirleyebilen bir dizi güvenlik kuralı içerir ve öncelik atamak mümkündür (öncelik numarası küçükse, öncelik daha yüksektir).

NSG’ler subnets ve NICs ile ilişkilendirilebilir.

Kurallar örneği:

  • Herhangi bir kaynaktan web sunucularınıza HTTP trafiğine (port 80) izin veren bir inbound kural.
  • Belirli bir hedef IP adres aralığına yalnızca SQL trafiğine (port 1433) izin veren bir outbound kural.

Keşif

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table
az network nsg show --name <nsg-name>

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

# Get NICs and subnets using this NSG
az network nsg show --name <NSGName> --resource-group <ResourceGroupName> --query "{subnets: subnets, networkInterfaces: networkInterfaces}"

Azure Firewall

Azure Firewall, doğu-batı ve kuzey-güney akışları için trafiği (L3–L7) filtreleyen yönetilen, durum bilgili bir firewall’dır. VNet level’inde dağıtılır; tüm alt ağlar için incelemeyi merkezileştirir ve kullanılabilirlik için otomatik ölçeklenir.

Mevcut SKU’lar: Basic, Standard, ve Premium:

Criteria/FeatureOption 1Option 2Option 3
Recommended Use CaseKüçük/Orta Ölçekli İşletmeler (KOBİ’ler) ile sınırlı ihtiyaçlarGenel kurumsal kullanım, Layer 3–7 filtrelemeYüksek hassasiyetli ortamlar (ör. ödeme işleme)
Performance250 Mbps’e kadar aktarım hızı30 Gbps’e kadar aktarım hızı100 Gbps’e kadar aktarım hızı
Threat IntelligenceYalnızca uyarılarUyarılar ve engelleme (malicious IPs/domains)Uyarılar ve engelleme (advanced threat intelligence)
L3–L7 FilteringTemel filtrelemeProtokoller arası durum bilgili filtrelemeGelişmiş inceleme ile durum bilgili filtreleme
Advanced Threat ProtectionMevcut değilTehdit istihbaratına dayalı filtrelemeSaldırı Tespit ve Önleme Sistemi (IDPS) içerir
TLS InspectionMevcut değilMevcut değilGelen/giden TLS sonlandırmayı destekler
AvailabilitySabit backend (2 VMs)AutoscalingAutoscaling
Ease of ManagementTemel kontrollerManaged via Firewall ManagerManaged via Firewall Manager

Keşif

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

Azure Route Tables

Azure Route Tables (UDR), hedef ön ekleri (ör. 10.0.0.0/16 veya 0.0.0.0/0) ve bir next hop (Virtual Network, Internet, Virtual Network Gateway veya Virtual Appliance) tanımlayarak varsayılan yönlendirmeyi geçersiz kılmanızı sağlar.

Rotalar subnet düzeyinde uygulanır; o subnet’teki tüm VMs tabloyu takip eder.

Örnek:

  • Internet’e yönlenen trafik için varsayılan 0.0.0.0/0’ı Internet olarak next hop ile kullanın.
  • Giden trafiği incelemek için 0.0.0.0/0’ı bir Network Virtual Appliance (NVA) IP’sine yönlendirin.

Enumeration

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List routes for a table (summary)
az network route-table route list --resource-group <ResourceGroupName> --route-table-name <RouteTableName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

# List routes for a table (full)
az network route-table route list --resource-group <ResourceGroupName> --route-table-name <RouteTableName>

Azure Private Link, Azure içinde bir hizmettir ve Azure hizmetlerine özel erişim sağlar; bunun için Azure virtual network (VNet) ile hizmet arasındaki trafiğin tamamen Microsoft’un Azure omurga ağı içinde seyahat etmesini garanti eder. Bu, hizmeti etkili şekilde VNet’inize getirir. Bu yapı, veriyi genel internete maruz bırakmayarak güvenliği artırır.

Private Link, Azure Storage, Azure SQL Database gibi çeşitli Azure hizmetleriyle ve Private Link aracılığıyla paylaşılan özel hizmetlerle kullanılabilir. Kendi VNet’iniz içinden veya farklı Azure aboneliklerinden bile hizmet tüketmek için güvenli bir yol sağlar.

Caution

NSGs private endpoints için uygulanmaz; bu da Private Link içeren bir subnet’e NSG ilişkilendirmenin hiçbir etki yaratmayacağı anlamına gelir.

Örnek:

VNet’inizden güvenli şekilde erişmek istediğiniz bir Azure SQL Database olduğunu varsayın. Normalde bu, genel interneti kullanmayı gerektirebilir. Private Link ile VNet’inizde bir private endpoint oluşturarak Azure SQL Database hizmetine doğrudan bağlanabilirsiniz. Bu endpoint, veritabanını kendi VNet’inizin bir parçasıymış gibi, özel bir IP adresi üzerinden erişilebilir hale getirir ve böylece güvenli ve özel erişim sağlar.

Keşif

# List Private Link Services
az network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

service Private DNS zone bağlantıları aracılığıyla DNS OverDoS

Bir VNet’in bir Virtual Network Link ile bir service Private DNS zone’a (ör. privatelink.blob.core.windows.net) bağlı olması durumunda, Azure o hizmet türüne ait Private Link ile kayıtlı kaynakların hostname çözümlemesini zona üzerinden zorunlu kılar. Eğer zona, iş yüklerinin hâlâ genel uç noktası üzerinden eriştiği bir kaynak için gerekli A kaydını içermiyorsa, DNS çözümlemesi NXDOMAIN döner ve istemciler genel IP’ye asla ulaşamaz; bu da kaynağa dokunmadan bir availability DoS’a yol açar.

Kötüye kullanım akışı (control-plane DoS):

  1. Private Endpoints oluşturmayı veya Private DNS zone links değiştirmeyi sağlayan RBAC yetkisi elde edin.
  2. Aynı hizmet türü için başka bir VNet’te bir Private Endpoint oluşturun (Azure, service Private DNS zone’u otomatik olarak oluşturur ve onu o VNet’e bağlar).
  3. O service Private DNS zone’u hedef VNet’e bağlayın.
  4. Çünkü hedef VNet artık çözümlemeyi Private DNS zone üzerinden zorunlu kılıyor ve o zonada hedef kaynak için bir A kaydı yoksa, isim çözümlemesi başarısız olur ve iş yükü hala genel uç noktaya ulaşamaz. Bu, Private Link tarafından desteklenen herhangi bir hizmet için geçerlidir (storage, Key Vault, ACR, Cosmos DB, Function Apps, OpenAI, vb.).

Büyük ölçekte keşif (Azure Resource Graph):

  • blob Private DNS zone’a bağlı VNET’ler (PL-registered blob endpoints için zorunlu çözümleme):
resources
| where type == "microsoft.network/privatednszones/virtualnetworklinks"
| extend
zone = tostring(split(id, "/virtualNetworkLinks")[0]),
vnetId = tostring(properties.virtualNetwork.id)
| join kind=inner (
resources
| where type == "microsoft.network/privatednszones"
| where name == "privatelink.blob.core.windows.net"
| project zoneId = id
) on $left.zone == $right.zoneId
| project vnetId
  • Storage accounts public endpoint üzerinden erişilebilir ancak Private Endpoint connections olmadan (yukarıdaki link eklenirse muhtemelen bozulur):
Resources
| where type == "microsoft.storage/storageaccounts"
| extend publicNetworkAccess = properties.publicNetworkAccess
| extend defaultAction = properties.networkAcls.defaultAction
| extend vnetRules = properties.networkAcls.virtualNetworkRules
| extend ipRules = properties.networkAcls.ipRules
| extend privateEndpoints = properties.privateEndpointConnections
| where publicNetworkAccess == "Enabled"
| where defaultAction == "Deny"
| where (isnull(privateEndpoints) or array_length(privateEndpoints) == 0)
| extend allowedVnets = iif(isnull(vnetRules), 0, array_length(vnetRules))
| extend allowedIps = iif(isnull(ipRules), 0, array_length(ipRules))
| where allowedVnets > 0 or allowedIps > 0
| project id, name, vnetRules, ipRules

Azure Service Endpoints

Azure Service Endpoints, sanal ağınızın (VNet) özel adres alanını ve VNet kimliğini doğrudan bir bağlantı üzerinden Azure hizmetlerine genişletir. Service endpoint’leri etkinleştirildiğinde, VNet’inizdeki kaynaklar Azure hizmetlerine, örneğin Azure Storage ve Azure SQL Database, Azure omurga ağı üzerinden güvenli bir şekilde bağlanabilir. Bu, Network Security Groups (NSGs) ile birleştirildiğinde ayrıntılı trafik kontrolü için özellikle kullanışlıdır.

Örnek:

  • VNET içinde Storage Account ve Service Endpoint etkinleştirildiğinde, depolama hesabı güvenlik duvarında sadece bir VNet’ten gelen gelen trafiğe izin vermek mümkün olur; bu da depolama hizmeti için public IP erişimine gerek kalmadan güvenli bir bağlantı sağlar.

Service Endpoints, hizmetler için özel IP adresleri gerektirmez ve güvenli bağlantı için Azure omurgasına dayanır. Kurulumu Private Links’e kıyasla daha kolaydır, ancak Private Links’in sağladığı aynı düzeyde izolasyon ve ayrıntılı kontrolü sunmaz.

Enumeration

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}"

# List Service Endpoints for a Subnet
az network vnet subnet show --resource-group <ResourceGroupName> --vnet-name <VNetName> --name <SubnetName> --query "serviceEndpoints"

Microsoft, Private Links kullanımını docs bölümünde önerir:

Service Endpoints:

  • VNet’inizden Azure servisine giden trafik, genel interneti atlayarak Microsoft Azure omurga ağı üzerinden gider.
  • Endpoint, Azure servisine doğrudan bir bağlantıdır ve VNet içinde servis için özel bir IP sağlamaz.
  • Servis, hizmetin firewall’ını bu trafiği engelleyecek şekilde yapılandırmadığınız sürece VNet’iniz dışından public endpoint aracılığıyla erişilebilir olmaya devam eder.
  • Subnet ile Azure servisi arasında bire bir ilişki vardır.
  • Private Links’e göre daha az maliyetlidir.

Private Links:

  • Private Link, Azure hizmetlerini VNet’inize, VNet içinde özel bir IP adresine sahip bir ağ arayüzü olan private endpoint aracılığıyla haritalar.
  • Azure hizmetine bu özel IP adresi kullanılarak erişilir; bu, hizmetin ağınızın bir parçasıymış gibi görünmesini sağlar.
  • Private Link aracılığıyla bağlanan hizmetlere yalnızca VNet’inizden veya bağlı ağlardan erişilebilir; hizmete genel internet erişimi yoktur.
  • Azure hizmetlerine veya Azure’da barındırılan kendi hizmetlerinize güvenli bir bağlantı sağlar; ayrıca başkaları tarafından paylaşılan hizmetlere de bağlantı imkanı sunar.
  • Service endpoints ile alt ağ düzeyindeki daha geniş erişim kontrolünün aksine, VNet’inizdeki private endpoint aracılığıyla daha ayrıntılı erişim kontrolü sağlar.

Özetle, Service Endpoints ve Private Links her ikisi de Azure hizmetlerine güvenli bağlantı sağlasa da, Private Links, hizmetlerin genel internete açılmadan özel olarak erişilmesini sağlayarak daha yüksek düzeyde izolasyon ve güvenlik sunar. Service Endpoints ise, VNet içinde özel bir IP’ye ihtiyaç olmadan Azure hizmetlerine basit, güvenli erişim gerektiği genel durumlar için kurulum açısından daha kolaydır.

Azure Front Door (AFD) & AFD WAF

Azure Front Door, küresel web uygulamalarınızın hızlı teslimatı için ölçeklenebilir ve güvenli bir giriş noktasıdır. Uygulama hızlandırma, SSL offloading ve uygulama katmanı güvenliği gibi çeşitli hizmetleri birleştirir (Web Application Firewall - WAF aracılığıyla). Dünya çapındaki edge POP (Point of Presence) konumları konsepti üzerine inşa edilmiştir; bu sayede uygulamalarınızı kullanıcılarınıza daha yakın hale getirir.

Azure Front Door, gelen trafiği web uygulamalarınıza (Azure’da veya başka yerde) yönlendirmek ve hızlandırmak, performansı iyileştirmek ve güvenliği artırmak için küresel olarak dağıtılmış bir edge konumları ağı sağlar.

Örnek:

  • Dünya çapında kullanıcıları olan bir e-ticaret platformu için, Azure Front Door edge konumlarında statik içeriği önbelleğe alabilir ve SSL offloading sunarak gecikmeyi azaltır ve daha duyarlı bir kullanıcı deneyimi sağlar. Ayrıca, uygulamalarınızı SQL injection veya XSS gibi yaygın web açıklarına karşı korumak için WAF sağlar.

Azure Front Door ayrıca health probe’ları ve gecikmeye göre trafiği en yakın kullanılabilir backend’e yönlendirerek akıllı yük dengeleme sunar; bu, tutarlı performans ve kullanılabilirlik sağlar. WAF’ı entegre ederek yaygın web tehditlerine karşı koruma sağlar.

Keşif

# List Azure Front Door profiles
az afd profile list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List AFD endpoints
az afd endpoint list --profile-name <ProfileName> --resource-group <ResourceGroupName> --query "[].{name:name, hostName:hostName, state:resourceState}" -o table

# Classic Azure Front Door (v1) profiles
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# Classic Azure Front Door WAF policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Azure Application Gateway ve Azure Application Gateway WAF

Azure Application Gateway, web uygulamalarınıza gelen trafiği yönetmenizi sağlayan bir web trafiği yük dengeleyicisidir. Uygulama Delivery Controller (ADC) olarak servis halinde Layer 7 load balancing, SSL termination ve web application firewall (WAF) yetenekleri sunar. Temel özellikler arasında URL tabanlı yönlendirme, çerez tabanlı oturum bağlılığı ve secure sockets layer (SSL) offloading yer alır; bunlar global yönlendirme ve yol tabanlı yönlendirme gibi karmaşık yük dengeleme gereksinimi olan uygulamalar için kritik öneme sahiptir.

Örnek:

Farklı işlevler için birden fazla alt alan adı içeren bir e-ticaret siteniz olduğunu düşünün; örneğin kullanıcı hesapları ve ödeme işleme için ayrı alt alan adları. Azure Application Gateway, URL yoluna göre trafiği uygun web sunucularına yönlendirebilir. Örneğin, example.com/accounts adresine gelen trafik kullanıcı hesapları servisine, example.com/pay adresine gelen trafik ise ödeme işleme servisine yönlendirilebilir.
Ayrıca WAF yetenekleriyle sitenizi saldırılardan koruyabilirsiniz.

Keşif

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

VNet Peering & HUB and Spoke topologies

VNet Peering

VNet Peering is a feature in Azure that allows different Virtual Networks (VNets) to be connected directly and seamlessly. Through VNet peering, resources in one VNet can communicate with resources in another VNet using private IP addresses, as if they were in the same network.
VNet Peering can also used with a on-prem networks by setting up a site-to-site VPN or Azure ExpressRoute.

Azure Hub and Spoke is a network architecture that leverages VNet peering to create a central Hub VNet which connects to multiple Spoke VNets. The hub typically contains shared services (such as firewalls, DNS, or Active Directory) while spokes host application workloads. This design simplifies management, enhances security through centralized controls, and reduces redundancy.

Example:

Büyük bir kuruluş, Finans, İK, IT gibi birden çok departmana sahip bir yapı için firewall’lar ve DNS sunucuları gibi paylaşılan servisleri barındıran bir Hub VNet oluşturabilir. Her departmanın, peering aracılığıyla Hub’a bağlanan kendi Spoke VNet’i olabilir. Bu, departmanların kaynaklarını genel internete açmadan güvenli bir şekilde iletişim kurmasına ve paylaşılan servisleri kullanmasına olanak tanır.

Enumeration

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet Peerings
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, remoteVnetId:remoteVirtualNetwork.id, allowForwardedTraffic:allowForwardedTraffic, allowGatewayTransit:allowGatewayTransit}"

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

Site-to-Site VPN

Azure’da bir Site-to-Site VPN, şirket içi ağınız ile Azure Virtual Network (VNet) arasında güvenli ve kalıcı bir bağlantı kurarak, Azure içindeki VMs gibi kaynakların yerel ağınızdaymış gibi görünmesini sağlar. Bu bağlantı, iki ağ arasındaki trafiği şifreleyen bir VPN gateway üzerinden kurulur.

Örnek:

New York’ta ana ofisi bulunan bir işletmenin, sanallaştırılmış iş yüklerini barındıran VNet’ine güvenli şekilde bağlanması gereken şirket içi bir veri merkezi vardır. Bir Site-to-Site VPN kurarak, şirket şirket içi sunucular ile Azure VMs arasındaki bağlantının şifrelenmesini sağlayabilir; böylece kaynaklar her iki ortam arasında aynı yerel ağdaymış gibi güvenli şekilde erişilebilir olur.

Keşif

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

Azure ExpressRoute

Azure ExpressRoute, şirket içi altyapınız ile Azure veri merkezleri arasında özel, ayrılmış, yüksek hızlı bir bağlantı sağlayan bir hizmettir. Bu bağlantı bir bağlantı sağlayıcısı aracılığıyla kurulmakta; genel interneti atlayarak tipik internet bağlantılarına göre daha fazla güvenilirlik, daha yüksek hızlar, daha düşük gecikme ve daha yüksek güvenlik sunar.

Örnek:

Çok uluslu bir şirket, yüksek veri hacmi ve yüksek aktarım kapasitesi ihtiyacı nedeniyle Azure hizmetlerine tutarlı ve güvenilir bir bağlantı gerektirmektedir. Şirket, şirket içi veri merkezini doğrudan Azure’a bağlamak için Azure ExpressRoute’u tercih eder; bu, günlük yedeklemeler ve gerçek zamanlı veri analitiği gibi büyük ölçekli veri transferlerini artırılmış gizlilik ve hızla kolaylaştırır.

Keşif

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table

Referanslar

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin