Dans chaque TLD configuré dans Cloudflare, il y a quelques paramètres généraux et services qui peuvent être configurés. Sur cette page, nous allons analyser les paramètres liés à la sécurité de chaque section :

Aperçu

• Avoir une idée de combien les services du compte sont utilisés

• Trouver également l'ID de zone et l'ID de compte

Analytique

• Dans Sécurité vérifiez s'il y a un Limitation de débit

DNS

• Vérifiez les données intéressantes (sensibles ?) dans les enregistrements DNS

• Recherchez des sous-domaines qui pourraient contenir des informations sensibles simplement en se basant sur le nom (comme admin173865324.domin.com)

• Vérifiez les pages web qui ne sont pas proxyfiées

• Vérifiez les pages web proxyfiées qui peuvent être accessibles directement par CNAME ou adresse IP

• Vérifiez que DNSSEC est activé

• Vérifiez que l'aplatissage CNAME est utilisé dans tous les CNAMEs

• Cela pourrait être utile pour masquer les vulnérabilités de prise de contrôle de sous-domaine et améliorer les temps de chargement

• Vérifiez que les domaines ne sont pas vulnérables au spoofing

Email

TODO

Spectre

TODO

SSL/TLS

Aperçu

• Le chiffrement SSL/TLS devrait être Complet ou Complet (Strict). Tout autre enverra du trafic en clair à un moment donné.

• Le Recommandateur SSL/TLS devrait être activé

Certificats Edge

• Toujours utiliser HTTPS devrait être activé

• Sécurité de transport strict HTTP (HSTS) devrait être activée

• La Version TLS minimale devrait être 1.2

• TLS 1.3 devrait être activé

• Réécriture automatique HTTPS devrait être activée

• Surveillance de la transparence des certificats devrait être activée

Sécurité

• Dans la section WAF, il est intéressant de vérifier que les règles de pare-feu et de limitation de débit sont utilisées pour prévenir les abus.

• L'action Contourner désactivera les fonctionnalités de sécurité de Cloudflare pour une requête. Elle ne devrait pas être utilisée.

• Dans la section Page Shield, il est recommandé de vérifier qu'elle est activée si une page est utilisée

• Dans la section API Shield, il est recommandé de vérifier qu'elle est activée si une API est exposée dans Cloudflare

• Dans la section DDoS, il est recommandé d'activer les protections DDoS

• Dans la section Paramètres :

• Vérifiez que le Niveau de sécurité est moyen ou supérieur

• Vérifiez que le Passage du défi est d'au maximum 1 heure

• Vérifiez que la Vérification de l'intégrité du navigateur est activée

• Vérifiez que le Support de Privacy Pass est activé

Protection DDoS CloudFlare

• Si possible, activez le Mode Combat Bot ou le Super Mode Combat Bot. Si vous protégez une API accédée de manière programmatique (à partir d'une page frontale JS par exemple), vous pourriez ne pas pouvoir l'activer sans interrompre cet accès.

• Dans WAF : Vous pouvez créer des limites de débit par chemin d'URL ou pour les bots vérifiés (règles de limitation de débit), ou pour bloquer l'accès en fonction de l'IP, du cookie, du référent...). Vous pourriez donc bloquer les requêtes qui ne proviennent pas d'une page web ou qui n'ont pas de cookie.

• Si l'attaque provient d'un bot vérifié, ajoutez au moins une limite de débit pour les bots.

• Si l'attaque vise un chemin spécifique, en tant que mécanisme de prévention, ajoutez une limite de débit sur ce chemin.

• Vous pouvez également mettre sur liste blanche des adresses IP, des plages d'adresses IP, des pays ou des ASNs à partir des Outils dans WAF.

• Vérifiez si les règles gérées pourraient également aider à prévenir l'exploitation de vulnérabilités.

• Dans la section Outils, vous pouvez bloquer ou donner un défi à des IP spécifiques et des agents utilisateurs.

• Dans DDoS, vous pourriez outrepasser certaines règles pour les rendre plus restrictives.

• Paramètres : Définissez le Niveau de sécurité sur Élevé et sur Sous attaque si vous êtes sous attaque et que la Vérification de l'intégrité du navigateur est activée.

• Dans Domaines Cloudflare -> Analytique -> Sécurité -> Vérifiez si la limitation de débit est activée

• Dans Domaines Cloudflare -> Sécurité -> Événements -> Vérifiez les Événements malveillants détectés

Accès

Vitesse

Je n'ai pas trouvé d'option liée à la sécurité

Mise en cache

• Dans la section Configuration, envisagez d'activer l'Outil de numérisation CSAM

Routes des travailleurs

Vous devriez déjà avoir vérifié les travailleurs Cloudflare

Règles

TODO

Réseau

• Si HTTP/2 est activé, HTTP/2 vers l'origine devrait être activé

• HTTP/3 (avec QUIC) devrait être activé

• Si la confidentialité de vos utilisateurs est importante, assurez-vous que Le routage en oignon est activé

Trafic

TODO

Pages personnalisées

• Il est facultatif de configurer des pages personnalisées lorsqu'une erreur liée à la sécurité est déclenchée (comme un blocage, une limitation de débit ou un mode Je suis sous attaque)

Applications

TODO

Scrape Shield

• Vérifiez si l'obscurcissement des adresses e-mail est activé

• Vérifiez si les exclusions côté serveur sont activées

Zaraz

TODO

Web3

TODO