Cloudflare Domains

In ogni TLD configurato in Cloudflare ci sono alcune impostazioni generali e servizi che possono essere configurati. In questa pagina andremo a analizzare le impostazioni relative alla sicurezza di ciascuna sezione:

Panoramica

• Fai un'idea di quanto sono utilizzati i servizi dell'account

• Trova anche il zone ID e il account ID

Analisi

• In Sicurezza controlla se ci sono limiti di frequenza

DNS

• Controlla i dati interessanti (sensibili?) nei record DNS

• Controlla i sottodomini che potrebbero contenere informazioni sensibili solo in base al nome (come admin173865324.domin.com)

• Controlla le pagine web che non sono proxy

• Controlla le pagine web proxy che possono essere accessibili direttamente tramite CNAME o indirizzo IP

• Controlla che DNSSEC sia abilitato

• Controlla che CNAME Flattening sia utilizzato in tutti i CNAME

• Questo potrebbe essere utile per nascondere le vulnerabilità di takeover dei sottodomini e migliorare i tempi di caricamento

• Controlla che i domini non siano vulnerabili a spoofing

Email

TODO

Spectrum

TODO

SSL/TLS

Panoramica

• La cifratura SSL/TLS dovrebbe essere Completa o Completa (Stratta). Qualsiasi altra opzione invierà traffico in chiaro a un certo punto.

• Il Consigliere SSL/TLS dovrebbe essere abilitato

Certificati Edge

• Usa sempre HTTPS dovrebbe essere abilitato

• HTTP Strict Transport Security (HSTS) dovrebbe essere abilitato

• La versione minima TLS dovrebbe essere 1.2

• TLS 1.3 dovrebbe essere abilitato

• Riscritture automatiche HTTPS dovrebbero essere abilitate

• Monitoraggio della trasparenza dei certificati dovrebbe essere abilitato

Sicurezza

• Nella sezione WAF è interessante controllare che le regole del firewall e limiti di frequenza siano utilizzati per prevenire abusi.

• L'azione Bypass disabiliterà le funzionalità di sicurezza di Cloudflare per una richiesta. Non dovrebbe essere utilizzata.

• Nella sezione Page Shield è consigliato controllare che sia abilitato se viene utilizzata una pagina

• Nella sezione API Shield è consigliato controllare che sia abilitato se qualche API è esposta in Cloudflare

• Nella sezione DDoS è consigliato abilitare le protezioni DDoS

• Nella sezione Impostazioni:

• Controlla che il Livello di Sicurezza sia medio o superiore

• Controlla che il Passaggio di Sfida sia di massimo 1 ora

• Controlla che il Controllo dell'Integrità del Browser sia abilitato

• Controlla che il Supporto Privacy Pass sia abilitato

Protezione DDoS di CloudFlare

• Se puoi, abilita Bot Fight Mode o Super Bot Fight Mode. Se stai proteggendo qualche API accessibile programmaticamente (da una pagina front end JS, ad esempio). Potresti non essere in grado di abilitare questo senza interrompere quell'accesso.

• In WAF: Puoi creare limiti di frequenza per percorso URL o per bot verificati (regole di limitazione della frequenza), o per bloccare l'accesso in base a IP, Cookie, referrer...). Quindi potresti bloccare richieste che non provengono da una pagina web o che non hanno un cookie.

• Se l'attacco proviene da un bot verificato, almeno aggiungi un limite di frequenza ai bot.

• Se l'attacco è a un percorso specifico, come meccanismo di prevenzione, aggiungi un limite di frequenza in questo percorso.

• Puoi anche whitelistare indirizzi IP, intervalli IP, paesi o ASN dagli Strumenti in WAF.

• Controlla se le regole gestite potrebbero anche aiutare a prevenire sfruttamenti di vulnerabilità.

• Nella sezione Strumenti puoi bloccare o dare una sfida a IP specifici e user agent.

• In DDoS potresti sovrascrivere alcune regole per renderle più restrittive.

• Impostazioni: Imposta il Livello di Sicurezza su Alto e su Sotto Attacco se sei sotto attacco e che il Controllo dell'Integrità del Browser è abilitato.

• In Cloudflare Domains -> Analisi -> Sicurezza -> Controlla se il limite di frequenza è abilitato

• In Cloudflare Domains -> Sicurezza -> Eventi -> Controlla per Eventi malevoli rilevati

Accesso

Velocità

Non sono riuscito a trovare alcuna opzione relativa alla sicurezza

Caching

• Nella sezione Configurazione considera di abilitare lo Strumento di Scansione CSAM

Percorsi Workers

Dovresti aver già controllato cloudflare workers

Regole

TODO

Rete

• Se HTTP/2 è abilitato, HTTP/2 to Origin dovrebbe essere abilitato

• HTTP/3 (con QUIC) dovrebbe essere abilitato

• Se la privacy dei tuoi utenti è importante, assicurati che Onion Routing sia abilitato

Traffico

TODO

Pagine Personalizzate

• È facoltativo configurare pagine personalizzate quando viene attivato un errore relativo alla sicurezza (come un blocco, limitazione della frequenza o modalità sotto attacco)

App

TODO

Scrape Shield

• Controlla che l'Offuscamento degli Indirizzi Email sia abilitato

• Controlla che le Esclusioni lato server siano abilitate

Zaraz

TODO

Web3

TODO