Cloudflare Domains

En cada TLD configurado en Cloudflare hay algunas configuraciones y servicios generales que se pueden configurar. En esta página vamos a analizar las configuraciones relacionadas con la seguridad de cada sección:

Resumen

• Tener una idea de cuánto se utilizan los servicios de la cuenta usados

• Encontrar también el ID de zona y el ID de cuenta

Analítica

• En Seguridad verificar si hay alguna Limitación de tasa

DNS

• Verificar datos interesantes (¿sensibles?) en los registros de DNS

• Verificar subdominios que podrían contener información sensible solo basándose en el nombre (como admin173865324.domin.com)

• Verificar páginas web que no están protegidas

• Verificar páginas web protegidas que pueden ser accedidas directamente por CNAME o dirección IP

• Verificar que DNSSEC esté habilitado

• Verificar que CNAME Flattening esté usado en todos los CNAMEs

• Esto podría ser útil para ocultar vulnerabilidades de toma de subdominio y mejorar los tiempos de carga

• Verificar que los dominios no sean vulnerables a suplantación

Email

TODO

Spectrum

TODO

SSL/TLS

Resumen

• La encriptación SSL/TLS debe ser Completa o Completa (Estricto). Cualquier otra enviará tráfico en texto claro en algún momento.

• El Recomendador de SSL/TLS debe estar habilitado

Certificados de Edge

• Siempre usar HTTPS debe estar habilitado

• HTTP Strict Transport Security (HSTS) debe estar habilitado

• La versión mínima de TLS debe ser 1.2

• TLS 1.3 debe estar habilitado

• Reescrituras automáticas de HTTPS deben estar habilitadas

• Monitoreo de Transparencia de Certificados debe estar habilitado

Seguridad

• En la sección WAF es interesante verificar que se utilizan reglas de Firewall y limitación de tasa para prevenir abusos.

• La acción Bypass desactivará las características de seguridad de Cloudflare para una solicitud. No debe ser utilizada.

• En la sección Page Shield se recomienda verificar que esté habilitado si se utiliza alguna página

• En la sección API Shield se recomienda verificar que esté habilitado si alguna API está expuesta en Cloudflare

• En la sección DDoS se recomienda habilitar las protecciones DDoS

• En la sección Configuraciones:

• Verificar que el Nivel de Seguridad sea medio o mayor

• Verificar que el Tiempo de Desafío sea de 1 hora como máximo

• Verificar que la Verificación de Integridad del Navegador esté habilitada

• Verificar que el Soporte de Privacy Pass esté habilitado

Protección DDoS de CloudFlare

• Si puedes, habilita Bot Fight Mode o Super Bot Fight Mode. Si estás protegiendo alguna API accesada programáticamente (desde una página de frontend JS, por ejemplo). Puede que no puedas habilitar esto sin romper ese acceso.

• En WAF: Puedes crear límites de tasa por ruta de URL o para bots verificados (reglas de limitación de tasa), o bloquear acceso basado en IP, Cookie, referidor...). Así que podrías bloquear solicitudes que no provengan de una página web o que no tengan una cookie.

• Si el ataque es de un bot verificado, al menos agrega un límite de tasa a los bots.

• Si el ataque es a una ruta específica, como mecanismo de prevención, agrega un límite de tasa en esta ruta.

• También puedes blanquear direcciones IP, rangos de IP, países o ASN desde las Herramientas en WAF.

• Verifica si las reglas gestionadas también podrían ayudar a prevenir explotaciones de vulnerabilidades.

• En la sección Herramientas puedes bloquear o dar un desafío a IPs específicas y agentes de usuario.

• En DDoS podrías sobrescribir algunas reglas para hacerlas más restrictivas.

• Configuraciones: Establece el Nivel de Seguridad en Alto y en Bajo Ataque si estás Bajo Ataque y que la Verificación de Integridad del Navegador esté habilitada.

• En Dominios de Cloudflare -> Analítica -> Seguridad -> Verificar si la limitación de tasa está habilitada

• En Dominios de Cloudflare -> Seguridad -> Eventos -> Verificar si hay Eventos maliciosos detectados

Acceso

Velocidad

No pude encontrar ninguna opción relacionada con la seguridad

Caché

• En la sección Configuración considera habilitar la Herramienta de Escaneo CSAM

Rutas de Workers

Ya deberías haber revisado cloudflare workers

Reglas

TODO

Red

• Si HTTP/2 está habilitado, HTTP/2 a Origen debe estar habilitado

• HTTP/3 (con QUIC) debe estar habilitado

• Si la privacidad de tus usuarios es importante, asegúrate de que Onion Routing esté habilitado

Tráfico

TODO

Páginas Personalizadas

• Es opcional configurar páginas personalizadas cuando se activa un error relacionado con la seguridad (como un bloqueo, limitación de tasa o estoy en modo de ataque)

Aplicaciones

TODO

Scrape Shield

• Verificar que la Ofuscación de Direcciones de Email esté habilitada

• Verificar que los Excluidos del lado del servidor estén habilitados

Zaraz

TODO

Web3

TODO