GCP - VPC & Networking

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• Abonelik planlarını kontrol edin!
• Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
• PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.

GCP Compute Networking in a Nutshell

VPC’ler, VPC’ye gelen trafiği izin veren Firewall kurallarını içerir. VPC’ler ayrıca sanallaştırılmış makinelerin bağlanacağı alt ağlar içerir.
AWS ile karşılaştırıldığında, Firewall, AWS Güvenlik Grupları ve NACL’ler ile en yakın şeydir, ancak bu durumda bunlar VPC’de tanımlanmıştır ve her bir örnekte değil.

VPC, Alt Ağlar & Firewall’lar GCP’de

Compute Instances, VPC’lerin (Sanal Özel Bulutlar) bir parçası olan alt ağlara bağlıdır. GCP’de güvenlik grupları yoktur, VPC firewall’ları vardır ve bu kurallar bu ağ seviyesinde tanımlanmış ancak her VM Örneğine uygulanmıştır.

Alt Ağlar

Bir VPC, birden fazla alt ağa sahip olabilir. Her alt ağ 1 bölgede bulunur.

Firewall’lar

Varsayılan olarak, her ağın iki implied firewall kuralı vardır: çıkışa izin ver ve girişte reddet.

Bir GCP projesi oluşturulduğunda, default adında bir VPC de oluşturulur ve aşağıdaki firewall kuralları ile birlikte gelir:

• default-allow-internal: default ağındaki diğer örneklerden gelen tüm trafiğe izin ver
• default-allow-ssh: her yerden 22’ye izin ver
• default-allow-rdp: her yerden 3389’a izin ver
• default-allow-icmp: her yerden ping’e izin ver

Warning

Gördüğünüz gibi, firewall kuralları genellikle iç IP adresleri için daha izin verici olma eğilimindedir. Varsayılan VPC, Compute Instances arasında tüm trafiğe izin verir.

Varsayılan VPC veya yeni VPC’ler için daha fazla Firewall kuralı oluşturulabilir. Firewall kuralları aşağıdaki yöntemler aracılığıyla örneklere uygulanabilir:

• Ağ etiketleri
• Hizmet hesapları
• Bir VPC içindeki tüm örnekler

Ne yazık ki, internette açık portlara sahip tüm Compute Instances’ı listeleyen basit bir gcloud komutu yoktur. Firewall kuralları, ağ etiketleri, hizmet hesapları ve örnekler arasında bağlantı kurmanız gerekir.

Bu süreç, aşağıdakileri dışa aktaracak olan bu python scripti kullanılarak otomatikleştirildi:

• Örnek, genel IP, izin verilen TCP, izin verilen UDP gösteren CSV dosyası
• Genel internetten (0.0.0.0/0) izin verilen portlarda tüm örnekleri hedef alan nmap taraması
• Genel internetten (0.0.0.0/0) Tüm TCP portlarına izin veren bu örneklerin tam TCP aralığını hedef alan masscan

Hiyerarşik Firewall Politikaları

Hiyerarşik firewall politikaları, kuruluşunuz genelinde tutarlı bir firewall politikası oluşturmanıza ve uygulamanıza olanak tanır. Hiyerarşik firewall politikalarını kuruluşun tamamına veya bireysel kataloglara atayabilirsiniz. Bu politikalar, bağlantıları açıkça reddedebilen veya izin verebilen kurallar içerir.

Firewall politikalarını ayrı adımlar olarak oluşturur ve uygularsınız. Firewall politikalarını kaynak hiyerarşisi üzerindeki kuruluş veya klasör düğümlerinde oluşturabilir ve uygulayabilirsiniz. Bir firewall politikası kuralı, bağlantıları engelleyebilir, bağlantılara izin verebilir veya firewall kuralı değerlendirmesini daha düşük düzeydeki klasörlere veya VPC ağlarında tanımlanan VPC firewall kurallarına erteleyebilir.

Varsayılan olarak, tüm hiyerarşik firewall politika kuralları, politikanın ilişkilendirildiği kuruluş veya klasör altındaki tüm projelerdeki tüm VM’lere uygulanır. Ancak, belirli bir kuralın hangi VM’lere uygulanacağını hedef ağlar veya hedef hizmet hesapları belirterek kısıtlayabilirsiniz.

Burada Hiyerarşik Firewall Politikası Oluşturma hakkında bilgi alabilirsiniz.

Firewall Kuralları Değerlendirmesi

1. Org: Kuruluşa atanan firewall politikaları
2. Klasör: Klasöre atanan firewall politikaları
3. VPC: VPC’ye atanan firewall kuralları
4. Global: VPC’lere atanabilen başka bir tür firewall kuralı
5. Bölgesel: VM’nin NIC’inin ve VM’nin bölgesinin VPC ağı ile ilişkili firewall kuralları.

VPC Ağ Peering

İki Sanal Özel Bulut (VPC) ağını bağlayarak her ağdaki kaynakların birbirleriyle iletişim kurmasını sağlar.
Peered VPC ağları aynı projede, aynı kuruluşun farklı projelerinde veya farklı kuruluşların farklı projelerinde olabilir.

Gerekli izinler şunlardır:

• compute.networks.addPeering
• compute.networks.updatePeering
• compute.networks.removePeering
• compute.networks.listPeeringRoutes

Belgelerde daha fazla bilgi.

Referanslar

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/
• https://cloud.google.com/vpc/docs/firewall-policies-overview#rule-evaluation

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• Abonelik planlarını kontrol edin!
• Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
• PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.