Cloudflare Domains

In jedem TLD, der in Cloudflare konfiguriert ist, gibt es einige allgemeine Einstellungen und Dienste, die konfiguriert werden können. Auf dieser Seite werden wir die sicherheitsrelevanten Einstellungen jeder Sektion analysieren:

Überblick

• Erhalten Sie ein Gefühl dafür, wie stark die Dienste des Kontos genutzt werden

• Finden Sie auch die Zonen-ID und die Kontonummer

Analytik

• Überprüfen Sie in Sicherheit, ob es ein Rate-Limiting gibt

DNS

• Überprüfen Sie interessante (sensible?) Daten in DNS-Einträgen

• Überprüfen Sie Subdomains, die möglicherweise sensible Informationen enthalten, basierend nur auf dem Namen (wie admin173865324.domin.com)

• Überprüfen Sie Webseiten, die nicht geproxied sind

• Überprüfen Sie geproxiede Webseiten, die direkt über CNAME oder IP-Adresse aufgerufen werden können

• Überprüfen Sie, ob DNSSEC aktiviert ist

• Überprüfen Sie, ob CNAME-Flattening in allen CNAMEs verwendet wird

• Dies könnte nützlich sein, um Subdomain-Übernahmeschwachstellen zu verbergen und die Ladezeiten zu verbessern

• Überprüfen Sie, dass die Domains nicht anfällig für Spoofing sind

E-Mail

TODO

Spectrum

TODO

SSL/TLS

Überblick

• Die SSL/TLS-Verschlüsselung sollte Vollständig oder Vollständig (Strikt) sein. Jede andere wird den Datenverkehr im Klartext an einem Punkt senden.

• Der SSL/TLS-Empfehler sollte aktiviert sein

Edge-Zertifikate

• Immer HTTPS verwenden sollte aktiviert sein

• HTTP Strict Transport Security (HSTS) sollte aktiviert sein

• Die minimale TLS-Version sollte 1.2 sein

• TLS 1.3 sollte aktiviert sein

• Automatische HTTPS-Umschreibungen sollten aktiviert sein

• Die Zertifikatstransparenzüberwachung sollte aktiviert sein

Sicherheit

• Im Abschnitt WAF ist es interessant zu überprüfen, ob Firewall- und Rate-Limiting-Regeln verwendet werden, um Missbräuche zu verhindern.

• Die Bypass-Aktion wird die Sicherheitsfunktionen von Cloudflare für eine Anfrage deaktivieren. Sie sollte nicht verwendet werden.

• Im Abschnitt Page Shield wird empfohlen zu überprüfen, ob es aktiviert ist, wenn eine Seite verwendet wird

• Im Abschnitt API Shield wird empfohlen zu überprüfen, ob es aktiviert ist, wenn eine API in Cloudflare freigegeben ist

• Im Abschnitt DDoS wird empfohlen, die DDoS-Schutzmaßnahmen zu aktivieren

• Im Abschnitt Einstellungen:

• Überprüfen Sie, ob der Sicherheitslevel mindestens mittel ist

• Überprüfen Sie, ob die Challenge-Passage maximal 1 Stunde beträgt

• Überprüfen Sie, ob die Browser-Integritätsprüfung aktiviert ist

• Überprüfen Sie, ob die Privacy Pass-Unterstützung aktiviert ist

CloudFlare DDoS-Schutz

• Wenn möglich, aktivieren Sie den Bot Fight Mode oder den Super Bot Fight Mode. Wenn Sie ein API schützen, das programmgesteuert aufgerufen wird (zum Beispiel von einer JS-Frontend-Seite). Möglicherweise können Sie dies nicht aktivieren, ohne diesen Zugriff zu unterbrechen.

• Im WAF: Sie können Rate-Limits nach URL-Pfad oder für verifizierte Bots (Rate-Limiting-Regeln) erstellen oder den Zugriff basierend auf IP, Cookie, Referrer... blockieren). So könnten Sie Anfragen blockieren, die nicht von einer Webseite stammen oder kein Cookie haben.

• Wenn der Angriff von einem verifizierten Bot ausgeht, fügen Sie zumindest Rate-Limits für Bots hinzu.

• Wenn der Angriff auf einen bestimmten Pfad erfolgt, fügen Sie als Präventionsmechanismus ein Rate-Limit in diesem Pfad hinzu.

• Sie können auch IP-Adressen, IP-Bereiche, Länder oder ASNs aus den Tools im WAF whitelisten.

• Überprüfen Sie, ob Managed Rules auch dazu beitragen könnten, Schwachstellen-Exploits zu verhindern.

• Im Abschnitt Tools können Sie bestimmten IPs und Benutzeragenten den Zugriff blockieren oder eine Herausforderung geben.

• Bei DDoS könnten Sie einige Regeln außer Kraft setzen, um sie restriktiver zu gestalten.

• Einstellungen: Setzen Sie den Sicherheitslevel auf Hoch und auf Unter Angriff, wenn Sie unter Angriff stehen, und stellen Sie sicher, dass die Browser-Integritätsprüfung aktiviert ist.

• In Cloudflare-Domains -> Analytik -> Sicherheit -> Überprüfen Sie, ob Rate-Limiting aktiviert ist

• In Cloudflare-Domains -> Sicherheit -> Ereignisse -> Überprüfen Sie auf erkannte bösartige Ereignisse

Zugriff

Geschwindigkeit

Ich konnte keine Option finden, die mit Sicherheit in Verbindung steht

Caching

• In der Konfiguration-Sektion sollten Sie das CSAM-Scanning-Tool aktivieren

Worker-Routen

Sie sollten bereits Cloudflare-Worker überprüft haben

Regeln

TODO

Netzwerk

• Wenn HTTP/2 aktiviert ist, sollte HTTP/2 to Origin aktiviert sein

• HTTP/3 (mit QUIC) sollte aktiviert sein

• Wenn die Privatsphäre Ihrer Benutzer wichtig ist, stellen Sie sicher, dass Onion Routing aktiviert ist

Traffic

TODO

Benutzerdefinierte Seiten

• Es ist optional, benutzerdefinierte Seiten zu konfigurieren, wenn ein Fehler im Zusammenhang mit Sicherheit ausgelöst wird (wie eine Blockierung, Rate-Limiting oder Ich bin im Angriffsmodus)

Apps

TODO

Scrape Shield

• Überprüfen Sie, ob die E-Mail-Adressen-Verschleierung aktiviert ist

• Überprüfen Sie, ob die Server-seitige Ausschlüsse aktiviert sind

Zaraz

TODO

Web3

TODO