In elke TLD wat in Cloudflare opgestel is, is daar sekere algemene instellings en dienste wat opgestel kan word. Op hierdie bladsy gaan ons die sekuriteitsverwante instellings van elke afdeling analiseer:

Oorsig

• Kry 'n gevoel van hoeveel die dienste van die rekening gebruik word

• Vind ook die sone-ID en die rekening-ID

Analitika

• In Sekuriteit kyk of daar enige Snelheidsbeperking is

DNS

• Kyk na interessante (sensitiewe?) data in DNS rekords

• Kyk vir subdomeine wat moontlik sensitiewe inligting kan bevat gebaseer op die naam (soos admin173865324.domin.com)

• Kyk vir webbladsye wat nie geprokseer is nie

• Kyk vir geprokseerde webbladsye wat direk toeganklik kan wees deur CNAME of IP-adres

• Kyk dat DNSSEC geaktiveer is

• Kyk dat CNAME Flattening in alle CNAMEs gebruik word

• Dit kan nuttig wees om subdomein-oorneembaarheidskwesbaarhede te verberg en laai-tye te verbeter

• Kyk dat die domeine nie vatbaar is vir vervalsing

E-pos

TODO

Spektrum

TODO

SSL/TLS

Oorsig

• Die SSL/TLS-versleuteling moet Volledig of Volledig (Streng) wees. Enige ander sal op 'n stadium teksverkeer stuur.

• Die SSL/TLS-aanbeveler moet geaktiveer wees

Randsertifikate

• Gebruik altyd HTTPS moet geaktiveer wees

• HTTP Streng Vervoer Sekuriteit (HSTS) moet geaktiveer wees

• Minimum TLS-weergawe moet 1.2 wees

• TLS 1.3 moet geaktiveer wees

• Outomatiese HTTPS Herskrywings moet geaktiveer wees

• Sertifikaatdeursigtigheidsmonitering moet geaktiveer wees

Sekuriteit

• In die WAF afdeling is dit interessant om te kyk dat Vuurwal en snelheidsbeperkingsreëls gebruik word om misbruik te voorkom.

• Die Deurloop-aksie sal Cloudflare-sekuriteitskenmerke uitskakel vir 'n versoek. Dit behoort nie gebruik te word nie.

• In die Bladsybeskerming afdeling word dit aanbeveel om te kyk dat dit geaktiveer is as enige bladsy gebruik word

• In die API-beskerming afdeling word dit aanbeveel om te kyk dat dit geaktiveer is as enige API in Cloudflare blootgestel word

• In die DDoS afdeling word dit aanbeveel om die DDoS-beskerming te aktiveer

• In die Instellings afdeling:

• Kyk dat die Sekuriteitsvlak medium of hoër is

• Kyk dat die Uitdaging Deurloop maksimum 1 uur is

• Kyk dat die Blaaierintegriteitskontrole geaktiveer is

• Kyk dat die Privasiestap-ondersteuning geaktiveer is

CloudFlare DDoS-beskerming

• As jy kan, aktiveer Bot Fight Mode of Super Bot Fight Mode. As jy 'n API beskerm wat programmaties benader word (vanaf 'n JS-voorkantbladsy byvoorbeeld). Jy mag nie hierdie kan aktiveer sonder daardie toegang te breek nie.

• In WAF: Jy kan snelheidsbeperkings volgens URL-pad of vir geregistreerde bots (Snelheidsbeperkingsreëls) skep, of toegang blokkeer gebaseer op IP, Koekie, verwysings...). Jy kan dus versoek blokkeer wat nie van 'n webbladsy afkomstig is of 'n koekie het nie.

• As die aanval van 'n geregistreerde bot afkomstig is, voeg ten minste 'n snelheidsbeperking vir bots by.

• As die aanval na 'n spesifieke pad is, voeg as voorkomingsmeganisme 'n snelheidsbeperking in hierdie pad by.

• Jy kan ook IP-adresse, IP-reeks, lande of ASNs van die Gereedskap in WAF witlys.

• Kyk of Bestuurde reëls ook kan help om kwesbaarheidsexploitasies te voorkom.

• In die Gereedskap afdeling kan jy spesifieke IP-adresse en gebruikeragents blokkeer of 'n uitdaging gee.

• In DDoS kan jy sekere reëls oorskryf om hulle strenger te maak.

• Instellings: Stel Sekuriteitsvlak in op Hoog en na Onder Aanval as jy Onder Aanval is en dat die Blaaierintegriteitskontrole geaktiveer is.

• In Cloudflare Domeine -> Analitika -> Sekuriteit -> Kyk of snelheidsbeperking geaktiveer is

• In Cloudflare Domeine -> Sekuriteit -> Gebeure -> Kyk vir opgespoorde skadelike Gebeure

Toegang

Spoed

Ek kon nie enige opsie rakende sekuriteit vind nie

Kassering

• In die Konfigurasie afdeling oorweeg om die CSAM-skanderingstool te aktiveer

Werkerroetes

Jy behoort reeds cloudflare werkers nagegaan te het

Reëls

TODO

Netwerk

• As HTTP/2 geaktiveer is, moet HTTP/2 na Oorsprong geaktiveer wees

• HTTP/3 (met QUIC) moet geaktiveer wees

• As die privasietyd van jou gebruikers belangrik is, maak seker Uie-roete geaktiveer is

Verkeer

TODO

Aangepaste Bladsye

• Dit is opsioneel om aangepaste bladsye te konfigureer wanneer 'n fout rakende sekuriteit geaktiveer word (soos 'n blokkering, snelheidsbeperking of Ek is onder aanval-modus)

Toepassings

TODO

Skraapskild

• Kontroleer of E-posadres Verduistering is geaktiveer

• Kontroleer of Bedienerkant Uitsluitings is geaktiveer

Zaraz

TODO

Web3

TODO