In jedem in Cloudflare konfigurierten TLD gibt es einige allgemeine Einstellungen und Dienste, die konfiguriert werden können. Auf dieser Seite werden wir die sicherheitsrelevanten Einstellungen jeder Sektion analysieren:

Überblick

• Erhalten Sie ein Gefühl dafür, wie stark die Dienste des Kontos genutzt werden

• Finden Sie auch die Zonen-ID und die Kontonummer

Analytik

• Überprüfen Sie in Sicherheit, ob es ein Rate-Limiting gibt

DNS

• Überprüfen Sie interessante (sensible?) Daten in DNS-Records

• Überprüfen Sie nach Subdomains, die möglicherweise sensible Informationen enthalten, basierend nur auf dem Namen (wie admin173865324.domin.com)

• Überprüfen Sie nach Webseiten, die nicht geproxied sind

• Überprüfen Sie nach geproxieden Webseiten, die direkt über CNAME oder IP-Adresse aufgerufen werden können

• Überprüfen Sie, ob DNSSEC aktiviert ist

• Überprüfen Sie, ob CNAME-Flattening in allen CNAMEs verwendet wird

• Dies könnte nützlich sein, um Subdomain-Takeover-Schwachstellen zu verbergen und die Ladezeiten zu verbessern

• Überprüfen Sie, ob die Domains nicht anfällig für Spoofing sind

E-Mail

TODO

Spectrum

TODO

SSL/TLS

Überblick

• Die SSL/TLS-Verschlüsselung sollte Vollständig oder Vollständig (Strikt) sein. Jede andere Option sendet zu einem bestimmten Zeitpunkt Klartextverkehr.

• Der SSL/TLS-Empfehler sollte aktiviert sein

Edge-Zertifikate

• Immer HTTPS verwenden sollte aktiviert sein

• HTTP Strict Transport Security (HSTS) sollte aktiviert sein

• Mindest-TLS-Version sollte 1.2 sein

• TLS 1.3 sollte aktiviert sein

• Automatische HTTPS-Umschreibungen sollten aktiviert sein

• Zertifikatstransparenzüberwachung sollte aktiviert sein

Sicherheit

• Im Abschnitt WAF ist es interessant zu überprüfen, ob Firewall- und Rate-Limiting-Regeln verwendet werden, um Missbräuche zu verhindern.

• Die Bypass-Aktion wird die Sicherheitsfunktionen von Cloudflare für eine Anfrage deaktivieren. Sie sollte nicht verwendet werden.

• Im Abschnitt Page Shield wird empfohlen zu überprüfen, ob es aktiviert ist, wenn eine Seite verwendet wird

• Im Abschnitt API Shield wird empfohlen zu überprüfen, ob es aktiviert ist, wenn eine API in Cloudflare freigegeben ist

• Im Abschnitt DDoS wird empfohlen, die DDoS-Schutzmaßnahmen zu aktivieren

• Im Abschnitt Einstellungen:

• Überprüfen Sie, ob der Sicherheitslevel mindestens mittel ist

• Überprüfen Sie, ob die Challenge-Passage maximal 1 Stunde beträgt

• Überprüfen Sie, ob die Browser-Integritätsprüfung aktiviert ist

• Überprüfen Sie, ob die Privacy Pass-Unterstützung aktiviert ist

CloudFlare DDoS-Schutz

• Wenn möglich, aktivieren Sie den Bot Fight Mode oder den Super Bot Fight Mode. Wenn Sie eine API schützen, die programmgesteuert aufgerufen wird (z. B. von einer JS-Frontend-Seite). Möglicherweise können Sie dies nicht aktivieren, ohne diesen Zugriff zu unterbrechen.

• Im WAF: Sie können Rate-Limits nach URL-Pfad oder für verifizierte Bots (Rate-Limiting-Regeln) erstellen oder den Zugriff basierend auf IP, Cookie, Referrer... blockieren). So könnten Sie Anfragen blockieren, die nicht von einer Webseite stammen oder kein Cookie haben.

• Wenn der Angriff von einem verifizierten Bot ausgeht, fügen Sie zumindest Rate-Limits für Bots hinzu.

• Wenn der Angriff auf einen spezifischen Pfad erfolgt, fügen Sie als Präventionsmechanismus ein Rate-Limit in diesem Pfad hinzu.

• Sie können IP-Adressen, IP-Bereiche, Länder oder ASNs aus den Tools im WAF whitelisten.

• Überprüfen Sie, ob Managed Rules auch dazu beitragen könnten, Schwachstellen-Exploits zu verhindern.

• Im Abschnitt Tools können Sie bestimmten IPs und User Agents den Zugriff blockieren oder eine Herausforderung geben.

• Im DDoS können Sie einige Regeln überschreiben, um sie restriktiver zu gestalten.

• Einstellungen: Setzen Sie den Sicherheitslevel auf Hoch und auf Unter Angriff, wenn Sie unter Angriff stehen, und stellen Sie sicher, dass die Browser-Integritätsprüfung aktiviert ist.

• In Cloudflare-Domains -> Analytik -> Sicherheit -> Überprüfen Sie, ob Rate-Limiting aktiviert ist

• In Cloudflare-Domains -> Sicherheit -> Ereignisse -> Überprüfen Sie auf erkannte bösartige Ereignisse

Zugriff

Geschwindigkeit

Ich konnte keine Option finden, die mit Sicherheit in Verbindung steht

Caching

• In der Konfiguration-Sektion erwägen Sie die Aktivierung des CSAM-Scanning-Tools

Worker-Routen

Sie sollten bereits Cloudflare-Worker überprüft haben

Regeln

TODO

Netzwerk

• Wenn HTTP/2 aktiviert ist, sollte HTTP/2 to Origin aktiviert sein

• HTTP/3 (mit QUIC) sollte aktiviert sein

• Wenn die Privatsphäre Ihrer Benutzer wichtig ist, stellen Sie sicher, dass Onion Routing aktiviert ist

Verkehr

TODO

Benutzerdefinierte Seiten

• Es ist optional, benutzerdefinierte Seiten zu konfigurieren, wenn ein Fehler im Zusammenhang mit Sicherheit ausgelöst wird (wie eine Blockierung, Rate-Limiting oder Ich bin im Angriffsmodus)

Apps

TODO

Scrape Shield

• Überprüfen Sie, ob die E-Mail-Adressen-Verschleierung aktiviert ist

• Überprüfen Sie, ob Server-seitige Ausschlüsse aktiviert sind

Zaraz

TODO

Web3

TODO