Cloudflare Domains

Σε κάθε TLD που έχει ρυθμιστεί στο Cloudflare υπάρχουν κάποιες γενικές ρυθμίσεις και υπηρεσίες που μπορούν να ρυθμιστούν. Σε αυτή τη σελίδα θα αναλύσουμε τις ρυθμίσεις που σχετίζονται με την ασφάλεια κάθε ενότητας:

Επισκόπηση

• Αποκτήστε μια αίσθηση του πόσο χρησιμοποιούνται οι υπηρεσίες του λογαριασμού

• Βρείτε επίσης το zone ID και το account ID

Αναλύσεις

• Στην Ασφάλεια ελέγξτε αν υπάρχει Περιορισμός Ρυθμού

DNS

• Ελέγξτε ενδιαφέροντα (ευαίσθητα;) δεδομένα στα DNS αρχεία

• Ελέγξτε για υποτομείς που θα μπορούσαν να περιέχουν ευαίσθητες πληροφορίες μόνο με βάση το όνομα (όπως admin173865324.domin.com)

• Ελέγξτε για ιστοσελίδες που δεν είναι προξενημένες

• Ελέγξτε για προξενημένες ιστοσελίδες που μπορούν να προσεγγιστούν απευθείας μέσω CNAME ή διεύθυνσης IP

• Ελέγξτε ότι το DNSSEC είναι ενεργοποιημένο

• Ελέγξτε ότι το CNAME Flattening είναι χρησιμοποιούμενο σε όλα τα CNAMEs

• Αυτό μπορεί να είναι χρήσιμο για να κρύψει τις ευπάθειες ανάληψης υποτομέων και να βελτιώσει τους χρόνους φόρτωσης

• Ελέγξτε ότι οι τομείς δεν είναι ευάλωτοι σε spoofing

Email

TODO

Spectrum

TODO

SSL/TLS

Επισκόπηση

• Η κρυπτογράφηση SSL/TLS θα πρέπει να είναι Πλήρης ή Πλήρης (Αυστηρή). Οποιαδήποτε άλλη θα στείλει καθαρό κείμενο σε κάποιο σημείο.

• Ο Συστήματος SSL/TLS θα πρέπει να είναι ενεργοποιημένος

Πιστοποιητικά Edge

• Πάντα Χρησιμοποιήστε HTTPS θα πρέπει να είναι ενεργοποιημένο

• HTTP Αυστηρή Ασφάλεια Μεταφοράς (HSTS) θα πρέπει να είναι ενεργοποιημένο

• Ελάχιστη Έκδοση TLS θα πρέπει να είναι 1.2

• TLS 1.3 θα πρέπει να είναι ενεργοποιημένο

• Αυτόματες Επαναγραφές HTTPS θα πρέπει να είναι ενεργοποιημένες

• Παρακολούθηση Διαφάνειας Πιστοποιητικών θα πρέπει να είναι ενεργοποιημένη

Ασφάλεια

• Στην ενότητα WAF είναι ενδιαφέρον να ελέγξετε ότι οι κανόνες τείχους προστασίας και περιορισμού ρυθμού χρησιμοποιούνται για την αποτροπή καταχρήσεων.

• Η ενέργεια Bypass θα απενεργοποιήσει τις δυνατότητες ασφάλειας του Cloudflare για ένα αίτημα. Δεν θα πρέπει να χρησιμοποιείται.

• Στην ενότητα Page Shield συνιστάται να ελέγξετε ότι είναι ενεργοποιημένο αν χρησιμοποιείται κάποια σελίδα

• Στην ενότητα API Shield συνιστάται να ελέγξετε ότι είναι ενεργοποιημένο αν εκτίθεται κάποια API στο Cloudflare

• Στην ενότητα DDoS συνιστάται να ενεργοποιήσετε τις προστασίες DDoS

• Στην ενότητα Ρυθμίσεις:

• Ελέγξτε ότι το Επίπεδο Ασφάλειας είναι μεσαίο ή μεγαλύτερο

• Ελέγξτε ότι το Challenge Passage είναι 1 ώρα το μέγιστο

• Ελέγξτε ότι ο Έλεγχος Ακεραιότητας Περιηγητή είναι ενεργοποιημένος

• Ελέγξτε ότι η Υποστήριξη Privacy Pass είναι ενεργοποιημένη

Προστασία DDoS CloudFlare

• Αν μπορείτε, ενεργοποιήστε τη Λειτουργία Καταπολέμησης Ρομπότ ή τη Λειτουργία Υπερ Καταπολέμησης Ρομπότ. Αν προστατεύετε κάποια API που προσπελάζεται προγραμματισμένα (από μια σελίδα JS για παράδειγμα). Μπορεί να μην μπορείτε να ενεργοποιήσετε αυτό χωρίς να σπάσετε αυτή την πρόσβαση.

• Στο WAF: Μπορείτε να δημιουργήσετε περιορισμούς ρυθμού κατά URL διαδρομή ή σε επιβεβαιωμένα ρομπότ (κανόνες περιορισμού ρυθμού), ή να μπλοκάρετε την πρόσβαση με βάση IP, Cookie, παραπομπή...). Έτσι μπορείτε να μπλοκάρετε αιτήματα που δεν προέρχονται από μια ιστοσελίδα ή δεν έχουν cookie.

• Αν η επίθεση προέρχεται από ένα επιβεβαιωμένο ρομπότ, τουλάχιστον προσθέστε έναν περιορισμό ρυθμού στα ρομπότ.

• Αν η επίθεση είναι σε μια συγκεκριμένη διαδρομή, ως μηχανισμός πρόληψης, προσθέστε έναν περιορισμό ρυθμού σε αυτή τη διαδρομή.

• Μπορείτε επίσης να λευκάνετε διευθύνσεις IP, εύρη IP, χώρες ή ASN από τα Εργαλεία στο WAF.

• Ελέγξτε αν οι Διαχειριζόμενοι κανόνες θα μπορούσαν επίσης να βοηθήσουν στην αποτροπή εκμεταλλεύσεων ευπαθειών.

• Στην ενότητα Εργαλεία μπορείτε να μπλοκάρετε ή να δώσετε μια πρόκληση σε συγκεκριμένες IPs και χρήστες πρακτόρων.

• Στο DDoS μπορείτε να παρακάμψετε κάποιους κανόνες για να τους κάνετε πιο περιοριστικούς.

• Ρυθμίσεις: Ορίστε το Επίπεδο Ασφάλειας σε Υψηλό και σε Υπό Επίθεση αν είστε Υπό Επίθεση και ότι ο Έλεγχος Ακεραιότητας Περιηγητή είναι ενεργοποιημένος.

• Στο Cloudflare Domains -> Αναλύσεις -> Ασφάλεια -> Ελέγξτε αν είναι ενεργοποιημένος ο περιορισμός ρυθμού

• Στο Cloudflare Domains -> Ασφάλεια -> Γεγονότα -> Ελέγξτε για ανιχνευμένα κακόβουλα Γεγονότα

Πρόσβαση

Ταχύτητα

Δεν μπόρεσα να βρω καμία επιλογή σχετική με την ασφάλεια

Κρυφή μνήμη

• Στην ενότητα Διαμόρφωση σκεφτείτε να ενεργοποιήσετε το Εργαλείο Σάρωσης CSAM

Διαδρομές Εργαζομένων

Θα έπρεπε ήδη να έχετε ελέγξει cloudflare workers

Κανόνες

TODO

Δίκτυο

• Αν το HTTP/2 είναι ενεργοποιημένο, το HTTP/2 προς Προέλευση θα πρέπει να είναι ενεργοποιημένο

• HTTP/3 (με QUIC) θα πρέπει να είναι ενεργοποιημένο

• Αν η ιδιωτικότητα των χρηστών σας είναι σημαντική, βεβαιωθείτε ότι το Onion Routing είναι ενεργοποιημένο

Κίνηση

TODO

Προσαρμοσμένες Σελίδες

• Είναι προαιρετικό να ρυθμίσετε προσαρμοσμένες σελίδες όταν προκληθεί ένα σφάλμα σχετικό με την ασφάλεια (όπως μπλοκάρισμα, περιορισμός ρυθμού ή είμαι σε κατάσταση επίθεσης)

Εφαρμογές

TODO

Scrape Shield

• Ελέγξτε ότι η Απόκρυψη Διευθύνσεων Email είναι ενεργοποιημένη

• Ελέγξτε ότι οι Εξαιρέσεις Server-side είναι ενεργοποιημένες

Zaraz

TODO

Web3

TODO