Enrutamiento entre VNets en Azure

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

En un post anterior estuvimos tratando el tema de enrutamiento en Azure y aprendimos lo que son las System Routes y las UDR.

Hablando de ese tema un compañero me propuso un escenario donde podemos utilizar las UDR para conseguir el resultado que buscamos. El escenario es el siguiente:

  • Tenemos 2 VNETs, VNET1 y VNET2, conectadas mediante VNET Peering.
  • En VNET1 tenemos el rango de direcciones 10.0.0.0/16 y hemos creado una subred SUBNET1-1 con el rango 10.0.0.0/24
  • En VNET2 tenemos el rango 10.1.0.0/16 y dos subredes, SUBNET2-1 con el rango 10.1.0.0/24 y SUBNET2-2 con el rango 10.1.1.0/24

Aquí están las VNETs:

La subnet de VNET1:

Y las subnets de VNET2:

Para hacer pruebas tenemos 3 máquinas virtuales, una en cada subnet:

Y el diagrama de red sería algo como:

Al configurar el VNET Peering se establecen rutas del sistema que permiten que las máquinas de cualquiera de las subnets puedan conectar con máquinas de cualquier otra subnet (como siempre, hay que tener en cuenta los firewalls y Network Security Groups que podrían cortar el tráfico).

Sin embargo, en este escenario tenemos la necesidad de que las máquinas de la subnet SVNET1-1 puedan llegar a las de la subnet SVNET2-1, pero no a las de la subnet SVNET2-2.

La solución podría implementarse con Network Security Groups, pero en este caso vamos a configurar el enrutamiento para conseguir lo que buscamos y veremos que es muy fácil. La idea es bastante simple, mantenemos el enrutamiento por defecto del peering pero creamos en la SVNET1-1 una tabla de enrutamiento con una única ruta que tenga como destino SVNET2-2 (la subred a la que no queremos que llegue el tráfico) y como next hop la propia VNET de origen. De esta forma conseguimos que el tráfico que se origina en SVNET1-1 y que tiene como destino SVNET2-2 no salga de la subred de origen, mientras que el tráfico que va a SVNET2-1 sigue la ruta por defecto.

Empezamos creando la Tabla de Enrutamiento:

Y en esta tabla creamos una única ruta con subred de destino 10.1.1.0/24 y como next hop “Virtual Network”:

Esta tabla de enrutamiento la asociamos con la subred de origen, en este caso SVNET1-1:

Y ya podemos comprobar que desde la máquina que está en la SVNET1-1 (10.0.0.4/24) podemos seguir llegando a SVNET2-1 (10.1.0.4/24), pero no a SVNET2-2 (10.1.1.4/24):

Cómo Comprometer un Dominio Microsoft: El Eslabón más Débil

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

A principios de esta semana leí una noticia en la que afirma que en marzo de 2019 aún hay muchos servicios e infraestructuras que utilizan Windows XP. Entre ellos nos encontramos los PCs que utilizan los Diputados en el Congreso (foto del 28-02-2019):

Seguramente estos equipos no sean usados para navegar por Internet y tengan implementadas todas las medidas de seguridad perimetral. Hay que tener en cuenta que Windows XP no tiene soporte desde 2014.

Continue reading »

Azure Traffic Manager

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Cuando queremos distribuir el tráfico entre diferentes máquinas virtuales o entre diferentes servicios pensamos automáticamente en los balanceadores de carga. En Azure podemos desplegar varios tipos de balanceadores de carga:

Continue reading »

VPC Peering en Amazon AWS

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

En un post anterior hablamos de cómo podemos conectar dos VNet en Azure utilizando VNet Peering:

En esta ocasión vamos a ver el equivalente en Amazon AWS, que se llama VPC Peering. El objetivo es el mismo, queremos conectar dos VPC (Virtual Private Clouds) para que se puedan intercambiar paquetes entre ellas:

Continue reading »

Recuperar Acceso SSH a una Máquina en Amazon AWS

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Hace unos días que un cliente me llamó porque a una de las máquinas que tiene en Amazon AWS le ocurría algo extraño. Era posible acceder a los servicios alojados en esta máquina como HTTPS, pero no vía SSH, y no habían hecho cambios en la máquina, ni en el firewall ni en el grupo de seguridad.

Hay que decir que este error se está produciendo desde que sufrieron un ataque del que hablaremos en otro post. El resultado del ataque fue la instalación de un software de minado de criptomonedas aprovechando una vulnerabilidad en un servicio no actualizado.

Continue reading »