Cloudflare Domains

In elke TLD wat in Cloudflare gekonfigureer is, is daar 'n paar algemene instellings en dienste wat gekonfigureer kan word. Op hierdie bladsy gaan ons die veiligheidsverwante instellings van elke afdeling analiseer:

Oorsig

• Kry 'n gevoel van hoeveel die dienste van die rekening gebruik word

• Vind ook die zone ID en die rekening ID

Analise

• In Security kyk of daar enige Rate limiting is

DNS

• Kyk na interessante (sensitiewe?) data in DNS rekords

• Kyk vir subdomeine wat sensitiewe inligting kan bevat net gebaseer op die naam (soos admin173865324.domin.com)

• Kyk vir webbladsye wat nie geproxied is nie

• Kyk vir geproxified webbladsye wat direk deur CNAME of IP adres toeganklik is

• Kyk dat DNSSEC geaktiveer is

• Kyk dat CNAME Flattening in alle CNAMEs gebruik word

• Dit kan nuttig wees om subdomein oorneem kwesbaarhede te versteek en laai tyds te verbeter

• Kyk dat die domeine nie kwesbaar is vir spoofing nie

E-pos

TODO

Spektrum

TODO

SSL/TLS

Oorsig

• Die SSL/TLS enkripsie moet Vol of Vol (Streng) wees. Enige ander sal duidelike teks verkeer op 'n sekere punt stuur.

• Die SSL/TLS Aanbeveler moet geaktiveer wees

Rand Sertifikate

• Always Use HTTPS moet geaktiveer wees

• HTTP Strict Transport Security (HSTS) moet geaktiveer wees

• Minimum TLS Weergawe moet 1.2 wees

• TLS 1.3 moet geaktiveer wees

• Automatiese HTTPS Herskrywings moet geaktiveer wees

• Sertifikaat Deursigtigheid Monitering moet geaktiveer wees

Veiligheid

• In die WAF afdeling is dit interessant om te kyk dat Firewall en rate limiting reëls gebruik word om misbruik te voorkom.

• Die Bypass aksie sal Cloudflare sekuriteit funksies vir 'n versoek deaktiveer. Dit moet nie gebruik word nie.

• In die Page Shield afdeling word dit aanbeveel om te kyk dat dit geaktiveer is as enige bladsy gebruik word

• In die API Shield afdeling word dit aanbeveel om te kyk dat dit geaktiveer is as enige API in Cloudflare blootgestel word

• In die DDoS afdeling word dit aanbeveel om die DDoS beskermings te aktiveer

• In die Instellings afdeling:

• Kyk dat die Veiligheidsvlak medium of groter is

• Kyk dat die Uitdaging Deurgang 1 uur maksimum is

• Kyk dat die Bladsy Integriteit Kontrole geaktiveer is

• Kyk dat die Privaatheid Pass Ondersteuning geaktiveer is

CloudFlare DDoS Beskerming

• As jy kan, aktiveer Bot Fight Mode of Super Bot Fight Mode. As jy 'n API beskerm wat programmaties (van 'n JS voorblad bladsy byvoorbeeld) toeganklik is. Jy mag dalk nie in staat wees om dit te aktiveer sonder om daardie toegang te breek nie.

• In WAF: Jy kan rate limits per URL pad of vir geverifieerde bots (Rate limiting reëls), of om toegang te blokkeer gebaseer op IP, Koekie, verwysing...). So jy kan versoeke blokkeer wat nie van 'n webblad kom nie of 'n koekie het.

• As die aanval van 'n geverifieerde bot is, voeg ten minste 'n rate limit by vir bots.

• As die aanval op 'n spesifieke pad is, voeg as voorkomingsmeganisme 'n rate limit in hierdie pad by.

• Jy kan ook IP adresse, IP reekse, lande of ASN's van die Gereedskap in WAF witlys.

• Kyk of Geverifieerde reëls ook kan help om kwesbaarheid eksploitasiest te voorkom.

• In die Gereedskap afdeling kan jy blokkeer of 'n uitdaging gee aan spesifieke IPs en gebruikersagente.

• In DDoS kan jy sekere reëls oorskry om hulle meer beperkend te maak.

• Instellings: Stel Veiligheidsvlak op Hoog en op Onder Aanval as jy Onder Aanval is en dat die Bladsy Integriteit Kontrole geaktiveer is.

• In Cloudflare Domeine -> Analise -> Veiligheid -> Kyk of rate limit geaktiveer is

• In Cloudflare Domeine -> Veiligheid -> Gebeure -> Kyk vir gedetekteerde kwaadwillige Gebeure

Toegang

Spoed

Ek kon nie enige opsie rakende veiligheid vind nie

Caching

• In die Konfigurasie afdeling oorweeg om die CSAM Scanning Tool te aktiveer

Workers Routes

Jy moet reeds cloudflare workers gekyk het

Reëls

TODO

Netwerk

• As HTTP/2 geaktiveer is, moet HTTP/2 to Origin geaktiveer wees

• HTTP/3 (met QUIC) moet geaktiveer wees

• As die privaatheid van jou gebruikers belangrik is, maak seker Onion Routing is geaktiveer

Verkeer

TODO

Aangepaste Bladsye

• Dit is opsioneel om aangepaste bladsye te konfigureer wanneer 'n fout rakende veiligheid geaktiveer word (soos 'n blok, rate limiting of ek is onder aanval modus)

Apps

TODO

Scrape Shield

• Kyk of E-pos Adres Obfuskerings geaktiveer is

• Kyk of Bediener-kant Uitsluitings geaktiveer is

Zaraz

TODO

Web3

TODO