Cloudflare Domains

W każdej skonfigurowanej domenie w Cloudflare można skonfigurować pewne ogólne ustawienia i usługi. Na tej stronie zamierzamy analizować ustawienia związane z bezpieczeństwem w każdej sekcji:

Przegląd

• Zdobądź poczucie jak bardzo usługi konta są używane

• Znajdź również ID strefy i ID konta

Analiza

• W sekcji Bezpieczeństwo sprawdź, czy istnieje jakieś Ograniczenie szybkości

DNS

• Sprawdź interesujące (wrażliwe?) dane w rekordach DNS

• Sprawdź poddomeny, które mogą zawierać wrażliwe informacje tylko na podstawie nazwy (np. admin173865324.domin.com)

• Sprawdź strony internetowe, które nie są proxy

• Sprawdź strony internetowe z proxy, do których można uzyskać bezpośredni dostęp za pomocą CNAME lub adresu IP

• Sprawdź, czy DNSSEC jest włączone

• Sprawdź, czy Splaszczenie CNAME jest używane we wszystkich CNAME

• Może to być przydatne do ukrycia podatności na przejęcie poddomeny i poprawy czasów ładowania

• Sprawdź, czy domeny nie są podatne na podszywanie się

Email

TODO

Spectrum

TODO

SSL/TLS

Przegląd

• Szyfrowanie SSL/TLS powinno być Pełne lub Pełne (Ścisłe). Każde inne spowoduje przesłanie ruchu w postaci tekstu jawnego w pewnym momencie.

• Rekomendowane jest włączenie Rekomendacji SSL/TLS

Certyfikaty Edge

• Zawsze używaj protokołu HTTPS powinno być włączone

• Ścisła kontrola transportu protokołu HTTP (HSTS) powinna być włączona

• Minimalna wersja TLS powinna wynosić 1.2

• TLS 1.3 powinien być włączony

• Automatyczne przepisywanie na protokół HTTPS powinno być włączone

• Monitorowanie Transparentności Certyfikatów powinno być włączone

Bezpieczeństwo

• W sekcji WAF warto sprawdzić, czy są używane reguły zapory ogniowej i ograniczenia szybkości w celu zapobiegania nadużyciom.

• Działanie Bypass wyłączy funkcje bezpieczeństwa Cloudflare dla żądania. Nie powinno być używane.

• W sekcji Page Shield zaleca się sprawdzenie, czy jest włączony, jeśli używana jest jakaś strona

• W sekcji API Shield zaleca się sprawdzenie, czy jest włączony, jeśli jakieś API jest wystawione w Cloudflare

• W sekcji DDoS zaleca się włączenie ochrony DDoS

• W sekcji Ustawienia:

• Sprawdź, czy Poziom bezpieczeństwa jest średni lub wyższy

• Sprawdź, czy Przejście wyzwania wynosi maksymalnie 1 godzinę

• Sprawdź, czy Sprawdzanie integralności przeglądarki jest włączone

• Sprawdź, czy Wsparcie dla Privacy Pass jest włączone

Ochrona przed atakami DDoS w CloudFlare

• Jeśli to możliwe, włącz Tryb Walki z Botami lub Super Tryb Walki z Botami. Jeśli chronisz jakieś API dostępne programowo (np. z strony front-endowej JS), możesz nie móc tego włączyć bez zakłócania tego dostępu.

• W WAF: Możesz tworzyć limity szybkości według ścieżki URL lub dla zweryfikowanych botów (reguły ograniczania szybkości), lub blokować dostęp na podstawie IP, Cookie, odwołującego się...). Możesz więc blokować żądania, które nie pochodzą z strony internetowej lub nie mają ciasteczka.

• Jeśli atak pochodzi od zweryfikowanego bota, dodaj przynajmniej limit szybkości dla botów.

• Jeśli atak jest na konkretną ścieżkę, jako mechanizm zapobiegawczy, dodaj limit szybkości na tej ścieżce.

• Możesz również uwzględnić na białej liście adresy IP, zakresy IP, kraje lub ASNs z narzędzi w WAF.

• Sprawdź, czy Zarządzane reguły mogą również pomóc w zapobieganiu eksploatacjom podatności.

• W sekcji Narzędzia możesz blokować lub stawiać wyzwania określonym IP i agentom użytkownika.

• W DDoS możesz nadpisać niektóre reguły, aby były bardziej restrykcyjne.

• Ustawienia: Ustaw Poziom bezpieczeństwa na Wysoki i na Pod Atakiem, jeśli jesteś Atakowany i upewnij się, że Sprawdzanie integralności przeglądarki jest włączone.

• W Domeny Cloudflare -> Analizy -> Bezpieczeństwo -> Sprawdź, czy jest włączony limit szybkości

• W Domeny Cloudflare -> Bezpieczeństwo -> Zdarzenia -> Sprawdź, czy wykryto zdarzenia złośliwe

Dostęp

Szybkość

Nie znalazłem żadnej opcji związanej z bezpieczeństwem

Buforowanie

• W sekcji Konfiguracja rozważ włączenie Narzędzia Skanowania CSAM

Trasy Workers

Już powinieneś sprawdzić workers Cloudflare

Reguły

TODO

Sieć

• Jeśli HTTP/2 jest włączone, HTTP/2 do źródła powinno być włączone

• HTTP/3 (z QUIC) powinno być włączone

• Jeśli prywatność twoich użytkowników jest ważna, upewnij się, że Onion Routing jest włączone

Ruch

TODO

Strony Niestandardowe

• Opcjonalnie skonfiguruj niestandardowe strony, gdy wystąpi błąd związany z bezpieczeństwem (np. blokada, ograniczenie szybkości lub tryb "Jestem atakowany")

Aplikacje

TODO

Scrape Shield

• Sprawdź, czy Zaciemnianie Adresu E-mail jest włączone

• Sprawdź, czy Wyłączenia po stronie serwera są włączone

Zaraz

TODO

Web3

TODO