Cloudflare Domains

W każdej TLD skonfigurowanej w Cloudflare znajdują się ogólne ustawienia i usługi, które można skonfigurować. Na tej stronie zamierzamy analizować ustawienia związane z bezpieczeństwem w każdej sekcji:

Przegląd

• Zdobądź poczucie jak bardzo usługi konta są używane

• Znajdź również ID strefy i ID konta

Analiza

• W Bezpieczeństwo sprawdź, czy istnieje jakiekolwiek ograniczenie liczby połączeń

DNS

• Sprawdź interesujące (wrażliwe?) dane w rekordach DNS

• Sprawdź subdomeny, które mogą zawierać wrażliwe informacje tylko na podstawie nazwa (jak admin173865324.domin.com)

• Sprawdź strony internetowe, które nie są proxy

• Sprawdź proxy strony internetowe, które można uzyskać bezpośrednio przez CNAME lub adres IP

• Sprawdź, czy DNSSEC jest włączony

• Sprawdź, czy CNAME Flattening jest używane we wszystkich CNAME

• Może to być przydatne do ukrycia podatności na przejęcie subdomen i poprawy czasów ładowania

• Sprawdź, czy domeny nie są podatne na spoofing

Email

TODO

Spectrum

TODO

SSL/TLS

Przegląd

• Szyfrowanie SSL/TLS powinno być Pełne lub Pełne (Ścisłe). Jakiekolwiek inne spowoduje przesyłanie ruchu w postaci czystego tekstu w pewnym momencie.

• Rekomendator SSL/TLS powinien być włączony

Certyfikaty krawędziowe

• Zawsze używaj HTTPS powinno być włączone

• HTTP Strict Transport Security (HSTS) powinno być włączone

• Minimalna wersja TLS powinna wynosić 1.2

• TLS 1.3 powinien być włączony

• Automatyczne przepisywanie HTTPS powinno być włączone

• Monitorowanie przejrzystości certyfikatów powinno być włączone

Bezpieczeństwo

• W sekcji WAF interesujące jest sprawdzenie, czy zasady zapory i ograniczenia liczby połączeń są używane w celu zapobiegania nadużyciom.

• Akcja Bypass wyłączy funkcje bezpieczeństwa Cloudflare dla żądania. Nie powinna być używana.

• W sekcji Page Shield zaleca się sprawdzenie, czy jest włączona, jeśli jakakolwiek strona jest używana

• W sekcji API Shield zaleca się sprawdzenie, czy jest włączona, jeśli jakiekolwiek API jest wystawione w Cloudflare

• W sekcji DDoS zaleca się włączenie ochron DDoS

• W sekcji Ustawienia:

• Sprawdź, czy Poziom bezpieczeństwa jest średni lub wyższy

• Sprawdź, czy Czas wyzwania wynosi maksymalnie 1 godzinę

• Sprawdź, czy Sprawdzanie integralności przeglądarki jest włączone

• Sprawdź, czy Wsparcie dla Privacy Pass jest włączone

Ochrona DDoS CloudFlare

• Jeśli możesz, włącz Tryb walki z botami lub Super Tryb walki z botami. Jeśli chronisz jakieś API dostępne programowo (na przykład z strony frontowej JS). Możesz nie być w stanie włączyć tego bez zakłócania tego dostępu.

• W WAF: Możesz tworzyć ograniczenia liczby połączeń według ścieżki URL lub dla zweryfikowanych botów (zasady ograniczenia liczby połączeń), lub blokować dostęp na podstawie IP, Cookie, referrera...). Możesz więc blokować żądania, które nie pochodzą z strony internetowej lub nie mają cookie.

• Jeśli atak pochodzi od zweryfikowanego bota, przynajmniej dodaj ograniczenie liczby połączeń dla botów.

• Jeśli atak jest skierowany na konkretną ścieżkę, jako mechanizm zapobiegawczy, dodaj ograniczenie liczby połączeń w tej ścieżce.

• Możesz również dodać do białej listy adresy IP, zakresy IP, kraje lub ASN-y z Narzędzi w WAF.

• Sprawdź, czy Zarządzane zasady mogą również pomóc w zapobieganiu wykorzystaniu podatności.

• W sekcji Narzędzia możesz blokować lub stawiać wyzwanie konkretnym adresom IP i agentom użytkownika.

• W DDoS możesz nadpisać niektóre zasady, aby były bardziej restrykcyjne.

• Ustawienia: Ustaw Poziom bezpieczeństwa na Wysoki i na Pod atakiem, jeśli jesteś pod atakiem i Sprawdzanie integralności przeglądarki jest włączone.

• W Cloudflare Domains -> Analiza -> Bezpieczeństwo -> Sprawdź, czy ograniczenie liczby połączeń jest włączone

• W Cloudflare Domains -> Bezpieczeństwo -> Wydarzenia -> Sprawdź, czy są wykryte złośliwe wydarzenia

Dostęp

Szybkość

Nie mogłem znaleźć żadnej opcji związanej z bezpieczeństwem

Caching

• W sekcji Konfiguracja rozważ włączenie Narzędzia skanowania CSAM

Trasy pracowników

Powinieneś już sprawdzić cloudflare workers

Zasady

TODO

Sieć

• Jeśli HTTP/2 jest włączony, HTTP/2 do Origin powinno być włączone

• HTTP/3 (z QUIC) powinno być włączone

• Jeśli prywatność twoich użytkowników jest ważna, upewnij się, że Onion Routing jest włączony

Ruch

TODO

Strony niestandardowe

• Opcjonalne jest skonfigurowanie stron niestandardowych, gdy wystąpi błąd związany z bezpieczeństwem (jak blokada, ograniczenie liczby połączeń lub jestem w trybie ataku)

Aplikacje

TODO

Scrape Shield

• Sprawdź, czy Zamaskowanie adresu e-mail jest włączone

• Sprawdź, czy Wykluczenia po stronie serwera są włączone

Zaraz

TODO

Web3

TODO