Cloudflare Domains

Cloudflare'da yapılandırılmış her TLD'de bazı genel ayarlar ve hizmetler yapılandırılabilir. Bu sayfada her bölümün güvenlikle ilgili ayarlarını analiz edeceğiz:

Genel Bakış

• Hesabın hizmetlerinin ne kadar kullanıldığını anlamak

• zone ID ve hesap ID'sini bulmak

Analitik

• Güvenlik bölümünde herhangi bir Hız sınırlaması olup olmadığını kontrol edin

DNS

• DNS kayıtlarında ilginç (hassas?) verileri kontrol edin

• ad'e dayalı olarak hassas bilgi içerebilecek alt alan adlarını kontrol edin (örneğin admin173865324.domin.com)

• Proxylenmemiş web sayfalarını kontrol edin

• CNAME veya IP adresi ile doğrudan erişilebilen proxylenmiş web sayfalarını kontrol edin

• DNSSEC'in etkin olduğunu kontrol edin

• Tüm CNAME'lerde CNAME Düzleştirme'nin kullanıldığını kontrol edin

• Bu, alt alan adı ele geçirme açıklarını gizlemek ve yükleme sürelerini iyileştirmek için faydalı olabilir

• Alan adlarının sahtecilik için savunmasız olmadığını kontrol edin

E-posta

TODO

Spektrum

TODO

SSL/TLS

Genel Bakış

• SSL/TLS şifrelemesi Tam veya Tam (Sıkı) olmalıdır. Diğer herhangi bir seçenek, bir noktada düz metin trafiği gönderecektir.

• SSL/TLS Önerici etkin olmalıdır

Kenar Sertifikaları

• Her Zaman HTTPS Kullan etkin olmalıdır

• HTTP Sıkı Taşıma Güvenliği (HSTS) etkin olmalıdır

• Minimum TLS Sürümü 1.2 olmalıdır

• TLS 1.3 etkin olmalıdır

• Otomatik HTTPS Yeniden Yazmaları etkin olmalıdır

• Sertifika Şeffaflığı İzleme etkin olmalıdır

Güvenlik

• WAF bölümünde, Firewall ve hız sınırlama kurallarının kullanıldığını kontrol etmek ilginçtir.

• Bypass eylemi, bir istekte Cloudflare güvenlik özelliklerini devre dışı bırakır. Kullanılmamalıdır.

• Sayfa Kalkanı bölümünde, herhangi bir sayfa kullanılıyorsa etkin olduğunu kontrol etmek önerilir

• API Kalkanı bölümünde, Cloudflare'da herhangi bir API açığa çıkıyorsa etkin olduğunu kontrol etmek önerilir

• DDoS bölümünde DDoS korumalarının etkinleştirilmesi önerilir

• Ayarlar bölümünde:

• Güvenlik Seviyesi'nin orta veya daha yüksek olduğunu kontrol edin

• Zorluk Süresi'nin en fazla 1 saat olduğunu kontrol edin

• Tarayıcı Bütünlüğü Kontrolü'nün etkin olduğunu kontrol edin

• Gizlilik Pass Desteği'nin etkin olduğunu kontrol edin

CloudFlare DDoS Koruması

• Eğer mümkünse, Bot Savaş Modu veya Süper Bot Savaş Modu'nu etkinleştirin. Eğer programlı olarak erişilen bir API'yi koruyorsanız (örneğin bir JS ön yüz sayfasından). Bu erişimi bozmadığınız sürece bunu etkinleştiremeyebilirsiniz.

• WAF'da: URL yolu ile hız sınırlamaları oluşturabilir veya doğrulanmış botlar için (Hız sınırlama kuralları), ya da IP, Çerez, yönlendiren vb. temelinde erişimi engelleyebilirsiniz. Böylece bir web sayfasından gelmeyen veya çerezi olmayan istekleri engelleyebilirsiniz.

• Eğer saldırı doğrulanmış bir bot tarafından geliyorsa, en azından botlar için bir hız sınırlaması ekleyin.

• Eğer saldırı belirli bir yola ise, önleme mekanizması olarak, bu yolda bir hız sınırlaması ekleyin.

• WAF'daki Araçlar bölümünden IP adreslerini, IP aralıklarını, ülkeleri veya ASN'leri beyaz listeye alabilirsiniz.

• Yönetilen kuralların da açık istismarlarını önlemeye yardımcı olup olmadığını kontrol edin.

• Araçlar bölümünde belirli IP'lere ve kullanıcı ajanlarına engelleme veya zorluk verebilirsiniz.

• DDoS'da bazı kuralları daha kısıtlayıcı hale getirmek için geçersiz kılabilirsiniz.

• Ayarlar: Güvenlik Seviyesi'ni Yüksek ve Saldırı Altında olarak ayarlayın eğer Saldırı Altındaysanız ve Tarayıcı Bütünlüğü Kontrolü etkin ise.

• Cloudflare Alan Adları -> Analitik -> Güvenlik -> hız sınırlamasının etkin olup olmadığını kontrol edin

• Cloudflare Alan Adları -> Güvenlik -> Olaylar -> tespit edilen kötü niyetli Olaylar için kontrol edin

Erişim

Hız

Güvenlikle ilgili herhangi bir seçenek bulamadım

Önbellekleme

• Yapılandırma bölümünde CSAM Tarama Aracı'nı etkinleştirmeyi düşünün

Workers Yolları

Zaten cloudflare workers kontrol etmiş olmalısınız

Kurallar

TODO

Ağ

• Eğer HTTP/2 etkinse, HTTP/2 to Origin etkin olmalıdır

• HTTP/3 (QUIC ile) etkin olmalıdır

• Eğer kullanıcılarınızın gizliliği önemliyse, Onion Routing'in etkin olduğundan emin olun

Trafik

TODO

Özel Sayfalar

• Güvenlikle ilgili bir hata tetiklendiğinde (örneğin bir engelleme, hız sınırlaması veya saldırı altındayım modu) özel sayfaları yapılandırmak isteğe bağlıdır

Uygulamalar

TODO

Scrape Shield

• E-posta Adresi Gizleme'nin etkin olduğunu kontrol edin

• Sunucu tarafı Hariç Tutmalar'ın etkin olduğunu kontrol edin

Zaraz

TODO

Web3

TODO