Cloudflare Domains

У кожному TLD, налаштованому в Cloudflare, є деякі загальні налаштування та сервіси, які можна налаштувати. На цій сторінці ми будемо аналізувати налаштування, пов'язані з безпекою, кожного розділу:

Огляд

• Отримати уявлення про те, наскільки сервіси облікового запису використовуються

• Також знайти zone ID та account ID

Аналітика

• У Security перевірте, чи є будь-яке обмеження швидкості

DNS

• Перевірте цікаві (чутливі?) дані в DNS записах

• Перевірте наявність субдоменів, які можуть містити чутливу інформацію лише на основі імені (наприклад, admin173865324.domin.com)

• Перевірте веб-сторінки, які не є проксованими

• Перевірте проксовані веб-сторінки, до яких можна доступитися безпосередньо за допомогою CNAME або IP-адреси

• Перевірте, що DNSSEC увімкнено

• Перевірте, що CNAME Flattening використовується в усіх CNAME

• Це може бути корисно для приховування вразливостей захоплення субдоменів та покращення часу завантаження

• Перевірте, що домени не вразливі до спуфінгу

Електронна пошта

TODO

Спектр

TODO

SSL/TLS

Огляд

• SSL/TLS шифрування має бути Повним або Повним (Суворим). Будь-який інший варіант на деякому етапі відправить трафік у відкритому тексті.

• SSL/TLS Рекомендатор має бути увімкнено

Сертифікати краю

• Завжди використовувати HTTPS має бути увімкнено

• HTTP Сувора Транспортна Безпека (HSTS) має бути увімкнено

• Мінімальна версія TLS має бути 1.2

• TLS 1.3 має бути увімкнено

• Автоматичні переписування HTTPS мають бути увімкнені

• Моніторинг прозорості сертифікатів має бути увімкнено

Безпека

• У розділі WAF цікаво перевірити, що правила брандмауера та обмеження швидкості використовуються для запобігання зловживанням.

• Дія Bypass відключить функції безпеки Cloudflare для запиту. Її не слід використовувати.

• У розділі Page Shield рекомендується перевірити, що він увімкнений, якщо використовується будь-яка сторінка

• У розділі API Shield рекомендується перевірити, що він увімкнений, якщо будь-який API відкритий у Cloudflare

• У розділі DDoS рекомендується увімкнути захист від DDoS

• У розділі Settings:

• Перевірте, що Security Level є середнім або вищим

• Перевірте, що Challenge Passage становить максимум 1 годину

• Перевірте, що Browser Integrity Check увімкнено

• Перевірте, що Privacy Pass Support увімкнено

Захист DDoS CloudFlare

• Якщо можете, увімкніть Bot Fight Mode або Super Bot Fight Mode. Якщо ви захищаєте якийсь API, до якого отримують доступ програмно (наприклад, з JS фронтенд-сторінки). Ви можете не мати можливості увімкнути це, не зламавши цей доступ.

• У WAF: Ви можете створити обмеження швидкості за URL-адресою або для перевірених ботів (правила обмеження швидкості), або блокувати доступ на основі IP, Cookie, реферера...). Тож ви можете блокувати запити, які не надходять з веб-сторінки або не мають cookie.

• Якщо атака з перевіреного бота, принаймні додайте обмеження швидкості для ботів.

• Якщо атака на конкретний шлях, як механізм запобігання, додайте обмеження швидкості в цьому шляху.

• Ви також можете додати до білого списку IP-адреси, діапазони IP, країни або ASN у Інструментах в WAF.

• Перевірте, чи Керовані правила також можуть допомогти запобігти експлуатації вразливостей.

• У розділі Інструменти ви можете блокувати або ставити виклик конкретним IP та агентам користувача.

• У DDoS ви можете перезаписати деякі правила, щоб зробити їх більш обмежувальними.

• Налаштування: Встановіть Security Level на Високий та на Під атакою, якщо ви під атакою, і щоб Browser Integrity Check був увімкнений.

• У Cloudflare Domains -> Аналітика -> Безпека -> Перевірте, чи увімкнено обмеження швидкості

• У Cloudflare Domains -> Безпека -> Події -> Перевірте наявність виявлених шкідливих подій

Доступ

Швидкість

Я не зміг знайти жодної опції, пов'язаної з безпекою

Кешування

• У розділі Configuration розгляньте можливість увімкнення CSAM Scanning Tool

Маршрути працівників

Ви вже повинні були перевірити cloudflare workers

Правила

TODO

Мережа

• Якщо HTTP/2 увімкнено, HTTP/2 to Origin має бути увімкнено

• HTTP/3 (з QUIC) має бути увімкнено

• Якщо конфіденційність ваших користувачів важлива, переконайтеся, що Onion Routing увімкнено

Трафік

TODO

Користувацькі сторінки

• Налаштування користувацьких сторінок, коли виникає помилка, пов'язана з безпекою (наприклад, блокування, обмеження швидкості або я під атакою), є необов'язковим

Додатки

TODO

Scrape Shield

• Перевірте, що Обфускація електронної пошти увімкнена

• Перевірте, що Виключення на стороні сервера увімкнені

Zaraz

TODO

Web3

TODO