Cloudflare Domains

Dans chaque TLD configuré dans Cloudflare, il y a quelques paramètres généraux et services qui peuvent être configurés. Sur cette page, nous allons analyser les paramètres liés à la sécurité de chaque section :

Aperçu

• Avoir une idée de combien les services du compte sont utilisés

• Trouver également le zone ID et le compte ID

Analytique

• Dans Sécurité, vérifiez s'il y a une limitation de taux

DNS

• Vérifiez les données intéressantes (sensibles ?) dans les enregistrements DNS

• Vérifiez les sous-domaines qui pourraient contenir des informations sensibles juste en fonction du nom (comme admin173865324.domin.com)

• Vérifiez les pages web qui ne sont pas proxyées

• Vérifiez les pages web proxyées qui peuvent être accessibles directement par CNAME ou adresse IP

• Vérifiez que DNSSEC est activé

• Vérifiez que CNAME Flattening est utilisé dans tous les CNAMEs

• Cela pourrait être utile pour cacher les vulnérabilités de prise de contrôle de sous-domaine et améliorer les temps de chargement

• Vérifiez que les domaines ne sont pas vulnérables au spoofing

Email

TODO

Spectrum

TODO

SSL/TLS

Aperçu

• Le chiffrement SSL/TLS doit être Complet ou Complet (Strict). Tout autre enverra du trafic en clair à un moment donné.

• Le Recommander SSL/TLS doit être activé

Certificats Edge

• Toujours utiliser HTTPS doit être activé

• HTTP Strict Transport Security (HSTS) doit être activé

• La version minimale de TLS doit être 1.2

• TLS 1.3 doit être activé

• Réécritures automatiques HTTPS doivent être activées

• Surveillance de la transparence des certificats doit être activée

Sécurité

• Dans la section WAF, il est intéressant de vérifier que les règles de pare-feu et de limitation de taux sont utilisées pour prévenir les abus.

• L'action Bypass désactivera les fonctionnalités de sécurité de Cloudflare pour une requête. Elle ne devrait pas être utilisée.

• Dans la section Page Shield, il est recommandé de vérifier qu'elle est activée si une page est utilisée

• Dans la section API Shield, il est recommandé de vérifier qu'elle est activée si une API est exposée dans Cloudflare

• Dans la section DDoS, il est recommandé d'activer les protections DDoS

• Dans la section Paramètres :

• Vérifiez que le Niveau de sécurité est moyen ou supérieur

• Vérifiez que le Délai de défi est de 1 heure au maximum

• Vérifiez que le Vérification de l'intégrité du navigateur est activée

• Vérifiez que le Support Privacy Pass est activé

Protection DDoS CloudFlare

• Si vous le pouvez, activez le Mode de combat contre les bots ou le Mode de combat contre les super bots. Si vous protégez une API accessible de manière programmatique (depuis une page frontale JS par exemple). Vous pourriez ne pas être en mesure d'activer cela sans rompre cet accès.

• Dans WAF : Vous pouvez créer des limites de taux par chemin URL ou pour des bots vérifiés (règles de limitation de taux), ou pour bloquer l'accès basé sur l'IP, le cookie, le référent...). Ainsi, vous pourriez bloquer les requêtes qui ne proviennent pas d'une page web ou qui n'ont pas de cookie.

• Si l'attaque provient d'un bot vérifié, au moins ajoutez une limite de taux aux bots.

• Si l'attaque est dirigée vers un chemin spécifique, comme mécanisme de prévention, ajoutez une limite de taux dans ce chemin.

• Vous pouvez également mettre sur liste blanche des adresses IP, des plages IP, des pays ou des ASN dans les Outils de WAF.

• Vérifiez si les règles gérées pourraient également aider à prévenir les exploitations de vulnérabilités.

• Dans la section Outils, vous pouvez bloquer ou donner un défi à des IP spécifiques et agents utilisateurs.

• Dans DDoS, vous pourriez remplacer certaines règles pour les rendre plus restrictives.

• Paramètres : Réglez le Niveau de sécurité sur Élevé et sur Sous attaque si vous êtes sous attaque et que la Vérification de l'intégrité du navigateur est activée.

• Dans Domaines Cloudflare -> Analytique -> Sécurité -> Vérifiez si la limite de taux est activée

• Dans Domaines Cloudflare -> Sécurité -> Événements -> Vérifiez les événements malveillants détectés

Accès

Vitesse

Je n'ai pas trouvé d'option liée à la sécurité

Mise en cache

• Dans la section Configuration, envisagez d'activer l'outil de scan CSAM

Routes des Workers

Vous devriez déjà avoir vérifié cloudflare workers

Règles

TODO

Réseau

• Si HTTP/2 est activé, HTTP/2 vers l'origine doit être activé

• HTTP/3 (avec QUIC) doit être activé

• Si la vie privée de vos utilisateurs est importante, assurez-vous que Onion Routing est activé

Trafic

TODO

Pages personnalisées

• Il est optionnel de configurer des pages personnalisées lorsqu'une erreur liée à la sécurité est déclenchée (comme un blocage, une limitation de taux ou le mode je suis sous attaque)

Applications

TODO

Scrape Shield

• Vérifiez que l'Obfuscation des adresses email est activée

• Vérifiez que les Exclusions côté serveur sont activées

Zaraz

TODO

Web3

TODO