Cloudflare Domains

In jeder TLD, die in Cloudflare konfiguriert ist, gibt es einige allgemeine Einstellungen und Dienste, die konfiguriert werden können. Auf dieser Seite werden wir die sicherheitsrelevanten Einstellungen jeder Sektion analysieren:

Übersicht

• Ein Gefühl dafür bekommen, wie viel die Dienste des Kontos genutzt werden

• Finde auch die Zone-ID und die Kontonummer

Analytik

• In Sicherheit überprüfen, ob es eine Ratenbegrenzung gibt

DNS

• Überprüfe interessante (sensible?) Daten in den DNS Einträgen

• Überprüfe auf Subdomains, die sensible Informationen nur basierend auf dem Namen enthalten könnten (wie admin173865324.domin.com)

• Überprüfe auf Webseiten, die nicht proxied sind

• Überprüfe auf proxifizierte Webseiten, die direkt über CNAME oder IP-Adresse zugänglich sind

• Überprüfe, dass DNSSEC aktiviert ist

• Überprüfe, dass CNAME Flattening in allen CNAMEs verwendet wird

• Dies könnte nützlich sein, um Subdomain-Übernahmeanfälligkeiten zu verbergen und die Ladezeiten zu verbessern

• Überprüfe, dass die Domains nicht anfällig für Spoofing sind

E-Mail

TODO

Spectrum

TODO

SSL/TLS

Übersicht

• Die SSL/TLS-Verschlüsselung sollte Vollständig oder Vollständig (Streng) sein. Jede andere wird zu einem bestimmten Zeitpunkt Klartextverkehr senden.

• Der SSL/TLS-Empfehlungsdienst sollte aktiviert sein

Edge-Zertifikate

• Immer HTTPS verwenden sollte aktiviert sein

• HTTP Strict Transport Security (HSTS) sollte aktiviert sein

• Minimale TLS-Version sollte 1.2 sein

• TLS 1.3 sollte aktiviert sein

• Automatische HTTPS-Umschreibungen sollten aktiviert sein

• Zertifikatstransparenzüberwachung sollte aktiviert sein

Sicherheit

• Im WAF-Bereich ist es interessant zu überprüfen, ob Firewall- und Ratenbegrenzungsregeln verwendet werden, um Missbrauch zu verhindern.

• Die Bypass-Aktion wird die Cloudflare-Sicherheits-Funktionen für eine Anfrage deaktivieren. Sie sollte nicht verwendet werden.

• Im Page Shield-Bereich wird empfohlen zu überprüfen, ob es aktiviert ist, wenn eine Seite verwendet wird

• Im API Shield-Bereich wird empfohlen zu überprüfen, ob es aktiviert ist, wenn eine API in Cloudflare exponiert ist

• Im DDoS-Bereich wird empfohlen, die DDoS-Schutzmaßnahmen zu aktivieren

• Im Einstellungen-Bereich:

• Überprüfe, dass das Sicherheitsniveau mittel oder höher ist

• Überprüfe, dass die Challenge Passage maximal 1 Stunde beträgt

• Überprüfe, dass die Browser-Integritätsprüfung aktiviert ist

• Überprüfe, dass die Privacy Pass Unterstützung aktiviert ist

CloudFlare DDoS-Schutz

• Wenn möglich, aktiviere den Bot Fight Mode oder den Super Bot Fight Mode. Wenn du eine API schützt, die programmgesteuert (z. B. von einer JS-Frontend-Seite) aufgerufen wird, kannst du dies möglicherweise nicht aktivieren, ohne den Zugriff zu unterbrechen.

• In WAF: Du kannst Ratenlimits nach URL-Pfad oder für verifizierte Bots (Ratenbegrenzungsregeln) erstellen oder den Zugriff basierend auf IP, Cookie, Referrer... blockieren. So könntest du Anfragen blockieren, die nicht von einer Webseite stammen oder kein Cookie haben.

• Wenn der Angriff von einem verifizierten Bot kommt, füge mindestens ein Ratenlimit für Bots hinzu.

• Wenn der Angriff auf einen bestimmten Pfad abzielt, füge als Präventionsmechanismus ein Ratenlimit in diesem Pfad hinzu.

• Du kannst auch IP-Adressen, IP-Bereiche, Länder oder ASNs aus den Tools in WAF whitelisten.

• Überprüfe, ob verwaltete Regeln auch helfen könnten, um die Ausnutzung von Schwachstellen zu verhindern.

• Im Tools-Bereich kannst du bestimmte IPs und Benutzeragenten blockieren oder eine Herausforderung stellen.

• In DDoS könntest du einige Regeln überschreiben, um sie restriktiver zu machen.

• Einstellungen: Setze das Sicherheitsniveau auf Hoch und auf Unter Angriff, wenn du unter Angriff stehst und die Browser-Integritätsprüfung aktiviert ist.

• In Cloudflare-Domains -> Analytik -> Sicherheit -> Überprüfe, ob die Ratenbegrenzung aktiviert ist

• In Cloudflare-Domains -> Sicherheit -> Ereignisse -> Überprüfe auf erfasste bösartige Ereignisse

Zugriff

Geschwindigkeit

Ich konnte keine Option finden, die mit Sicherheit zu tun hat

Caching

• Im Konfigurations-Bereich ziehe in Betracht, das CSAM-Scanning-Tool zu aktivieren

Workers-Routen

Du solltest bereits cloudflare workers überprüft haben

Regeln

TODO

Netzwerk

• Wenn HTTP/2 aktiviert ist, sollte HTTP/2 zu Origin aktiviert sein

• HTTP/3 (mit QUIC) sollte aktiviert sein

• Wenn die Privatsphäre deiner Nutzer wichtig ist, stelle sicher, dass Onion Routing aktiviert ist

Verkehr

TODO

Benutzerdefinierte Seiten

• Es ist optional, benutzerdefinierte Seiten zu konfigurieren, wenn ein sicherheitsbezogenes Fehlerereignis ausgelöst wird (wie ein Block, Ratenbegrenzung oder Ich bin im Angriffsmodus)

Apps

TODO

Scrape Shield

• Überprüfe, ob die E-Mail-Adressen-Verschleierung aktiviert ist

• Überprüfe, ob die Server-seitigen Ausschlüsse aktiviert sind

Zaraz

TODO

Web3

TODO