Cloudflare Domains

Em cada TLD configurado no Cloudflare, existem algumas configurações e serviços gerais que podem ser configurados. Nesta página, vamos analisar as configurações relacionadas à segurança de cada seção:

Visão Geral

• Tenha uma noção de quanto os serviços da conta são utilizados

• Encontre também o ID da zona e o ID da conta

Análise

• Em Segurança, verifique se há alguma Limitação de Taxa

DNS

• Verifique dados interessantes (sensíveis?) nos registros DNS

• Verifique por subdomínios que possam conter informações sensíveis apenas com base no nome (como admin173865324.domin.com)

• Verifique por páginas da web que não estão protegidas

• Verifique por páginas da web protegidas que podem ser acessadas diretamente por CNAME ou endereço IP

• Verifique se o DNSSEC está ativado

• Verifique se o CNAME Flattening está usado em todos os CNAMEs

• Isso pode ser útil para ocultar vulnerabilidades de takeover de subdomínio e melhorar os tempos de carregamento

• Verifique se os domínios não são vulneráveis a spoofing

Email

TODO

Spectrum

TODO

SSL/TLS

Visão Geral

• A criptografia SSL/TLS deve ser Completa ou Completa (Estrita). Qualquer outra opção enviará tráfego em texto claro em algum momento.

• O Recomendador SSL/TLS deve estar ativado

Certificados de Edge

• Sempre Usar HTTPS deve estar ativado

• HTTP Strict Transport Security (HSTS) deve estar ativado

• A versão mínima do TLS deve ser 1.2

• TLS 1.3 deve estar ativado

• Reescritas Automáticas de HTTPS devem estar ativadas

• Monitoramento de Transparência de Certificado deve estar ativado

Segurança

• Na seção WAF, é interessante verificar se as regras de Firewall e limitação de taxa estão sendo usadas para prevenir abusos.

• A ação Bypass irá desativar as funcionalidades de segurança do Cloudflare para uma solicitação. Não deve ser usada.

• Na seção Page Shield, é recomendado verificar se está ativado se alguma página estiver em uso

• Na seção API Shield, é recomendado verificar se está ativado se alguma API estiver exposta no Cloudflare

• Na seção DDoS, é recomendado ativar as proteções DDoS

• Na seção Configurações:

• Verifique se o Nível de Segurança está médio ou maior

• Verifique se o Tempo de Desafio é de 1 hora no máximo

• Verifique se a Verificação de Integridade do Navegador está ativada

• Verifique se o Suporte ao Privacy Pass está ativado

Proteção DDoS do CloudFlare

• Se puder, ative o Modo de Luta contra Bots ou Modo de Luta contra Super Bots. Se você estiver protegendo alguma API acessada programaticamente (de uma página de front-end JS, por exemplo). Você pode não conseguir ativar isso sem quebrar esse acesso.

• Em WAF: Você pode criar limites de taxa por caminho de URL ou para bots verificados (regras de limitação de taxa), ou bloquear acesso com base em IP, Cookie, referenciador...). Assim, você poderia bloquear solicitações que não vêm de uma página da web ou que não têm um cookie.

• Se o ataque for de um bot verificado, pelo menos adicione um limite de taxa para bots.

• Se o ataque for a um caminho específico, como mecanismo de prevenção, adicione um limite de taxa nesse caminho.

• Você também pode colocar na lista branca endereços IP, intervalos de IP, países ou ASNs nas Ferramentas no WAF.

• Verifique se as Regras Gerenciadas também podem ajudar a prevenir explorações de vulnerabilidades.

• Na seção Ferramentas, você pode bloquear ou desafiar IPs específicos e agentes de usuário.

• Em DDoS, você pode substituir algumas regras para torná-las mais restritivas.

• Configurações: Defina o Nível de Segurança como Alto e para Sob Ataque se você estiver Sob Ataque e que a Verificação de Integridade do Navegador esteja ativada.

• Em Domínios Cloudflare -> Análise -> Segurança -> Verifique se a limitação de taxa está ativada

• Em Domínios Cloudflare -> Segurança -> Eventos -> Verifique se há Eventos maliciosos detectados

Acesso

Velocidade

Não consegui encontrar nenhuma opção relacionada à segurança

Cache

• Na seção Configuração, considere ativar a Ferramenta de Escaneamento CSAM

Rotas de Workers

Você já deve ter verificado cloudflare workers

Regras

TODO

Rede

• Se HTTP/2 estiver ativado, HTTP/2 para Origem deve estar ativado

• HTTP/3 (com QUIC) deve estar ativado

• Se a privacidade dos seus usuários é importante, certifique-se de que Onion Routing está ativado

Tráfego

TODO

Páginas Personalizadas

• É opcional configurar páginas personalizadas quando um erro relacionado à segurança é acionado (como um bloqueio, limitação de taxa ou estou no modo sob ataque)

Aplicativos

TODO

Scrape Shield

• Verifique se a Obfuscação de Endereço de Email está ativada

• Verifique se os Excluídos do Lado do Servidor estão ativados

Zaraz

TODO

Web3

TODO