En cada TLD configurado en Cloudflare hay algunas configuraciones y servicios generales que se pueden configurar. En esta página vamos a analizar las configuraciones relacionadas con la seguridad de cada sección:

Resumen

• Tener una idea de cuánto se utilizan los servicios de la cuenta

• Encontrar también el ID de zona y el ID de cuenta

Análisis

• En Seguridad verificar si hay algún Límite de tasa (Rate limiting)

DNS

• Verificar datos interesantes (¿sensibles?) en los registros DNS

• Buscar subdominios que podrían contener información sensible solo basándose en el nombre (como admin173865324.domin.com)

• Verificar las páginas web que no están proxificadas

• Verificar las páginas web proxificadas que pueden ser accedidas directamente por CNAME o dirección IP

• Verificar que DNSSEC esté habilitado

• Verificar que CNAME Flattening se utilice en todos los CNAMEs

• Esto podría ser útil para ocultar vulnerabilidades de toma de subdominio y mejorar los tiempos de carga

• Verificar que los dominios no sean vulnerables al spoofing

Correo electrónico

POR HACER

Espectro

POR HACER

SSL/TLS

Resumen

• La encriptación SSL/TLS debería ser Completa (Full) o Completa estricta (Full (Strict)). Cualquier otra enviará tráfico en texto claro en algún momento.

• El Recomendador SSL/TLS debería estar habilitado

Certificados de Borde

• Usar siempre HTTPS debería estar habilitado

• Seguridad de transporte estricta de HTTP (HSTS) debería estar habilitada

• La Versión mínima de TLS debería ser 1.2

• TLS 1.3 debería estar habilitado

• Redirecciones automáticas de HTTPS deberían estar habilitadas

• El Monitoreo de transparencia de certificados debería estar habilitado

Seguridad

• En la sección WAF es interesante verificar que se utilicen reglas de Firewall y límites de tasa para prevenir abusos.

• La acción de Bypass deshabilitará las características de seguridad de Cloudflare para una solicitud. No debería ser utilizada.

• En la sección Page Shield se recomienda verificar que esté habilitado si se utiliza alguna página

• En la sección API Shield se recomienda verificar que esté habilitado si alguna API está expuesta en Cloudflare

• En la sección DDoS se recomienda habilitar las protecciones DDoS

• En la sección Configuraciones:

• Verificar que el Nivel de seguridad sea medio o superior

• Verificar que el Paso de desafío sea de máximo 1 hora

• Verificar que la Comprobación de integridad del navegador esté habilitada

• Verificar que el Soporte de Privacy Pass esté habilitado

Protección DDoS de CloudFlare

• Si es posible, habilitar el Modo de lucha contra bots o el Modo de lucha contra super bots. Si estás protegiendo alguna API accedida programáticamente (desde una página de frontend de JS, por ejemplo), es posible que no puedas habilitar esto sin interrumpir ese acceso.

• En WAF: Puedes crear límites de tasa por ruta de URL o para bots verificados (reglas de límite de tasa), o para bloquear el acceso basado en IP, Cookie, referente...). Así podrías bloquear solicitudes que no provengan de una página web o que no tengan una cookie.

• Si el ataque proviene de un bot verificado, al menos agrega un límite de tasa a los bots.

• Si el ataque es a una ruta específica, como mecanismo de prevención, agrega un límite de tasa en esta ruta.

• También puedes poner en lista blanca direcciones IP, rangos de IP, países o ASNs desde las Herramientas en WAF.

• Verifica si las reglas gestionadas también podrían ayudar a prevenir la explotación de vulnerabilidades.

• En la sección Herramientas puedes bloquear o desafiar a IPs específicas y agentes de usuario.

• En DDoS podrías anular algunas reglas para hacerlas más restrictivas.

• Configuraciones: Establece el Nivel de seguridad en Alto y en Bajo ataque si estás Bajo ataque y asegúrate de que la Comprobación de integridad del navegador esté habilitada.

• En Dominios de Cloudflare -> Análisis -> Seguridad -> Verificar si está habilitado el límite de tasa

• En Dominios de Cloudflare -> Seguridad -> Eventos -> Verificar los Eventos maliciosos detectados

Acceso

Velocidad

No pude encontrar ninguna opción relacionada con la seguridad

Caché

• En la sección Configuración considera habilitar la Herramienta de Escaneo de CSAM

Rutas de Workers

Ya deberías haber verificado workers de Cloudflare

Reglas

POR HACER

Red

• Si HTTP/2 está habilitado, HTTP/2 a Origen debería estar habilitado

• HTTP/3 (con QUIC) debería estar habilitado

• Si la privacidad de tus usuarios es importante, asegúrate de que Enrutamiento de Cebolla esté habilitado

Tráfico

POR HACER

Páginas Personalizadas

• Es opcional configurar páginas personalizadas cuando se desencadena un error relacionado con la seguridad (como un bloqueo, límite de tasa o modo de Estoy bajo ataque)

Aplicaciones

POR HACER

Protección contra Scraping

• Verificar que la Ofuscación de Direcciones de Correo Electrónico esté habilitada

• Verificar que las Exclusiones del Lado del Servidor estén habilitadas

Zaraz

POR HACER

Web3

POR HACER