Cloudflare Domains

Cloudflareに構成された各TLDには、構成できる一般設定とサービスがあります。このページでは、各セクションのセキュリティ関連設定を分析します。

概要

• アカウントのサービスの使用状況を把握する

• ゾーンIDとアカウントIDも見つける

アナリティクス

• セキュリティでレート制限があるか確認する

DNS

• DNSのレコードに興味深い（機密性の高い？）データがないか確認する

• 名前に基づいて機密情報を含む可能性があるサブドメインをチェックする（例：admin173865324.domin.com）

• プロキシされていないウェブページをチェックする

• プロキシされたウェブページがCNAMEやIPアドレスで直接アクセスできるか確認する

• DNSSECが有効であることを確認する

• すべてのCNAMEでCNAMEフラットニングが使用されていることを確認する

• これはサブドメイン乗っ取りの脆弱性を隠すのに役立ち、読み込み時間を改善する可能性があります

• ドメインがスプーフィングに脆弱でないことを確認する

Email

TODO

Spectrum

TODO

SSL/TLS

概要

• SSL/TLS暗号化は完全または完全（厳密）である必要があります。それ以外の場合、ある時点でクリアテキストトラフィックが送信されます。

• SSL/TLS推奨者が有効になっていることを確認する

エッジ証明書

• 常にHTTPSを使用する必要があります

• HTTP Strict Transport Security (HSTS)が有効であることを確認する

• 最小TLSバージョンは1.2である必要があります

• TLS 1.3が有効である必要があります

• 自動HTTPSリライトが有効であることを確認する

• 証明書透明性モニタリングが有効であることを確認する

セキュリティ

• WAFセクションでは、ファイアウォールとレート制限ルールが悪用を防ぐために使用されていることを確認する

• バイパスアクションはリクエストのためにCloudflareセキュリティ機能を無効にします。使用しないでください。

• ページシールドセクションでは、使用されている場合は有効であることを推奨します

• APIシールドセクションでは、使用されている場合は有効であることを推奨します

• **DDoS**セクションでは、DDoS保護を有効にすることを推奨します

• **設定**セクションでは：

• セキュリティレベルが中程度以上であることを確認する

• **チャレンジパス**が最大1時間であることを確認する

• ブラウザインテグリティチェックが有効であることを確認する

• プライバシーパスサポートが有効であることを確認する

CloudFlare DDoS保護

• 可能であれば、Bot Fight ModeまたはSuper Bot Fight Modeを有効にします。例えば、JSフロントエンドページからプログラム的にアクセスされるAPIを保護している場合、このアクセスを壊さずにこれを有効にすることができないかもしれません。

• WAF：URLパスごとのレート制限や検証済みボット（レート制限ルール）を作成したり、IP、Cookie、リファラに基づいてアクセスをブロックしたりすることができます。したがって、Webページから来ないリクエストやCookieを持たないリクエストをブロックできます。

• 攻撃が検証済みボットからの場合、少なくともボットにレート制限を追加します。

• 攻撃が特定のパスに対して行われる場合、予防機構としてこのパスにレート制限を追加します。

• ツールのWAFからIPアドレス、IP範囲、国、ASNをホワイトリストに登録できます。

• 管理されたルールが脆弱性の悪用を防ぐのに役立つかどうかを確認できます。

• ツールセクションでは、特定のIPアドレスやユーザーエージェントに対してブロックまたはチャレンジを与えることができます。

• DDoSでは、いくつかのルールをより制限的にするために一部のルールをオーバーライドすることができます。

• 設定：セキュリティレベルを高に設定し、攻撃を受けている場合は攻撃中に設定し、ブラウザインテグリティチェックが有効であることを確認します。

• Cloudflareドメイン -> アナリティクス -> セキュリティ -> レート制限が有効になっているか確認します

• Cloudflareドメイン -> セキュリティ -> イベント -> 検出された悪意のあるイベントを確認します

アクセス

速度

セキュリティに関連するオプションは見つかりませんでした

キャッシュ

• 構成セクションでCSAMスキャンツールを有効にすることを検討してください

ワーカールート

すでに cloudflare workers をチェックしているはずです

ルール

TODO

ネットワーク

• HTTP/2が有効になっている場合、HTTP/2 to Originも有効にする必要があります

• HTTP/3（QUIC付き）が有効である必要があります

• ユーザーのプライバシーが重要な場合は、Onion Routingが有効であることを確認してください

トラフィック

TODO

カスタムページ

• セキュリティに関連するエラーが発生した場合（ブロック、レート制限、攻撃中モードなど）、カスタムページを構成することがオプションです

Apps

TODO

Scrape Shield

• チェック Email Address Obfuscation が 有効 であること

• チェック Server-side Excludes が 有効 であること

Zaraz

TODO

Web3

TODO