In ogni TLD configurato in Cloudflare ci sono alcune impostazioni generali e servizi che possono essere configurati. In questa pagina andremo a analizzare le impostazioni relative alla sicurezza di ciascuna sezione:

Panoramica

• Avere un'idea di quanto vengono utilizzati i servizi dell'account

• Trovare anche l'ID zona e l'ID account

Analisi

• In Sicurezza controllare se c'è qualche Limitazione del tasso

DNS

• Controllare i dati interessanti (sensibili?) nei record DNS

• Controllare i sottodomini che potrebbero contenere informazioni sensibili basandosi solo sul nome (come admin173865324.domin.com)

• Controllare le pagine web che non sono proxy

• Controllare le pagine web proxy che possono essere accedute direttamente tramite CNAME o indirizzo IP

• Verificare che DNSSEC sia abilitato

• Verificare che il Livellamento CNAME sia utilizzato in tutti i CNAME

• Questo potrebbe essere utile per nascondere le vulnerabilità di takeover dei sottodomini e migliorare i tempi di caricamento

• Verificare che i domini non siano vulnerabili al phishing

Email

TODO

Spectrum

TODO

SSL/TLS

Panoramica

• L'crittografia SSL/TLS dovrebbe essere Completa o Completa (Rigorosa). Qualsiasi altra opzione invierà il traffico in chiaro in qualche momento.

• Il Consigliere SSL/TLS dovrebbe essere abilitato

Certificati Edge

• Usa sempre HTTPS dovrebbe essere abilitato

• Strict Transport Security (HSTS) dovrebbe essere abilitato

• La Versione minima di TLS dovrebbe essere 1.2

• TLS 1.3 dovrebbe essere abilitato

• Riscritture automatiche HTTPS dovrebbero essere abilitate

• Il Monitoraggio della trasparenza del certificato dovrebbe essere abilitato

Sicurezza

• Nella sezione WAF è interessante verificare che le regole del Firewall e del limitazione del tasso siano utilizzate per prevenire abusi.

• L'azione Bypass disabiliterà le funzionalità di sicurezza di Cloudflare per una richiesta. Non dovrebbe essere utilizzata.

• Nella sezione Page Shield è consigliabile verificare che sia abilitato se viene utilizzata una pagina

• Nella sezione API Shield è consigliabile verificare che sia abilitato se viene esposta un'API in Cloudflare

• Nella sezione DDoS è consigliabile abilitare le protezioni DDoS

• Nella sezione Impostazioni:

• Verificare che il Livello di sicurezza sia medio o superiore

• Verificare che il Passaggio della sfida sia al massimo di 1 ora

• Verificare che il Controllo dell'integrità del browser sia abilitato

• Verificare che il Supporto per Privacy Pass sia abilitato

Protezione DDoS di CloudFlare

• Se possibile, abilitare la Modalità Bot Fight o la Modalità Super Bot Fight. Se stai proteggendo qualche API accessibile programmaticamente (da una pagina front-end JS ad esempio). Potresti non essere in grado di abilitare questo senza interrompere tale accesso.

• In WAF: Puoi creare limiti di tasso per percorso URL o per bot verificati (Regole di limitazione del tasso), o per bloccare l'accesso basato su IP, Cookie, referrer...). Quindi potresti bloccare le richieste che non provengono da una pagina web o che non hanno un cookie.

• Se l'attacco proviene da un bot verificato, almeno aggiungi un limite di tasso ai bot.

• Se l'attacco è a un percorso specifico, come meccanismo preventivo, aggiungi un limite di tasso in questo percorso.

• Puoi anche inserire in whitelist indirizzi IP, intervalli di IP, paesi o ASN dalle Strumenti in WAF.

• Verifica se le Regole gestite potrebbero anche aiutare a prevenire sfruttamenti di vulnerabilità.

• Nella sezione Strumenti puoi bloccare o dare una sfida a specifici IP e agenti utente.

• In DDoS potresti sovrascrivere alcune regole per renderle più restrittive.

• Impostazioni: Imposta il Livello di sicurezza su Alto e su Sotto attacco se sei Sotto attacco e verifica che il Controllo dell'integrità del browser sia abilitato.

• In Domini Cloudflare -> Analisi -> Sicurezza -> Verifica se il limite di tasso è abilitato

• In Domini Cloudflare -> Sicurezza -> Eventi -> Verifica gli Eventi malevoli rilevati

Accesso

Velocità

Non ho trovato alcuna opzione relativa alla sicurezza

Caching

• Nella sezione Configurazione considera di abilitare lo Strumento di scansione CSAM

Percorsi dei Workers

Dovresti aver già controllato i workers di Cloudflare

Regole

TODO

Rete

• Se HTTP/2 è abilitato, HTTP/2 all'origine dovrebbe essere abilitato

• HTTP/3 (con QUIC) dovrebbe essere abilitato

• Se la privacy dei tuoi utenti è importante, assicurati che Routing Onion sia abilitato

Traffico

TODO

Pagine personalizzate

• È facoltativo configurare pagine personalizzate quando viene attivato un errore legato alla sicurezza (come un blocco, limitazione del tasso o modalità Sono sotto attacco)

Applicazioni

TODO

Scrape Shield

• Verifica che l'Oscuramento degli Indirizzi Email sia abilitato

• Verifica che gli Esclusioni Lato Server siano abilitate

Zaraz

TODO

Web3

TODO