Cloudflare Domains

Em cada TLD configurado no Cloudflare, existem algumas configurações gerais e serviços que podem ser configurados. Nesta página, vamos analisar as configurações relacionadas à segurança de cada seção:

Visão Geral

• Tenha uma ideia de quanto os serviços da conta são utilizados

• Encontre também o ID da zona e o ID da conta

Análises

• Em Segurança verifique se há algum Limite de taxa

DNS

• Verifique dados interessantes (sensíveis?) nos registros DNS

• Verifique os subdomínios que podem conter informações sensíveis apenas com base no nome (como admin173865324.domin.com)

• Verifique as páginas da web que não estão proxied

• Verifique as páginas da web proxificadas que podem ser acessadas diretamente por CNAME ou endereço IP

• Verifique se o DNSSEC está habilitado

• Verifique se o Achatamento de CNAME é usado em todos os CNAMEs

• Isso pode ser útil para ocultar vulnerabilidades de tomada de subdomínio e melhorar os tempos de carregamento

• Verifique se os domínios não são vulneráveis a spoofing

Email

TODO

Spectrum

TODO

SSL/TLS

Visão Geral

• A criptografia SSL/TLS deve ser Completa ou Completa (Estrita). Qualquer outra opção enviará tráfego em texto claro em algum momento.

• O Recomendador SSL/TLS deve estar habilitado

Certificados Edge

• Sempre Usar HTTPS deve estar habilitado

• Segurança de Transporte Estrito de HTTP (HSTS) deve estar habilitado

• A Versão Mínima do TLS deve ser 1.2

• O TLS 1.3 deve estar habilitado

• Redirecionamentos Automáticos de HTTPS devem estar habilitados

• O Monitoramento de Transparência de Certificados deve estar habilitado

Segurança

• Na seção WAF é interessante verificar se as regras de Firewall e limitação de taxa são usadas para prevenir abusos.

• A ação de Bypass irá desativar recursos de segurança do Cloudflare para uma solicitação. Não deve ser usada.

• Na seção Page Shield é recomendado verificar se está habilitado se alguma página for usada

• Na seção API Shield é recomendado verificar se está habilitado se alguma API estiver exposta no Cloudflare

• Na seção DDoS é recomendado habilitar as proteções DDoS

• Na seção Configurações:

• Verifique se o Nível de Segurança é médio ou maior

• Verifique se a Passagem de Desafio é no máximo de 1 hora

• Verifique se a Verificação de Integridade do Navegador está habilitada

• Verifique se o Suporte ao Privacy Pass está habilitado

Proteção DDoS do CloudFlare

• Se possível, habilite o Modo de Combate a Bots ou Modo Super Combate a Bots. Se estiver protegendo alguma API acessada programaticamente (de uma página JS front-end, por exemplo). Você pode não ser capaz de habilitar isso sem quebrar esse acesso.

• No WAF: Você pode criar limites de taxa por caminho de URL ou para bots verificados (regras de limitação de taxa), ou para bloquear o acesso com base em IP, Cookie, referenciador...). Assim, você poderia bloquear solicitações que não vêm de uma página da web ou não têm um cookie.

• Se o ataque for de um bot verificado, pelo menos adicione um limite de taxa para bots.

• Se o ataque for a um caminho específico, como mecanismo de prevenção, adicione um limite de taxa neste caminho.

• Você também pode listar branca endereços IP, faixas de IP, países ou ASNs nas Ferramentas no WAF.

• Verifique se as regras gerenciadas também podem ajudar a prevenir a exploração de vulnerabilidades.

• Na seção Ferramentas você pode bloquear ou desafiar IPs específicos e agentes de usuário.

• No DDoS você pode sobrescrever algumas regras para torná-las mais restritivas.

• Configurações: Defina o Nível de Segurança como Alto e como Sob Ataque se estiver Sob Ataque e que a Verificação de Integridade do Navegador esteja habilitada.

• Em Domínios Cloudflare -> Análises -> Segurança -> Verifique se o limite de taxa está habilitado

• Em Domínios Cloudflare -> Segurança -> Eventos -> Verifique os Eventos maliciosos detectados

Acesso

Velocidade

Não consegui encontrar nenhuma opção relacionada à segurança

Armazenamento em Cache

• Na seção Configuração considere habilitar a Ferramenta de Verificação de CSAM

Rotas de Workers

Você já deveria ter verificado workers do cloudflare

Regras

TODO

Rede

• Se o HTTP/2 estiver habilitado, o HTTP/2 para Origem deve estar habilitado

• O HTTP/3 (com QUIC) deve estar habilitado

• Se a privacidade de seus usuários for importante, certifique-se de que o Roteamento de Onion esteja habilitado

Tráfego

TODO

Páginas Personalizadas

• É opcional configurar páginas personalizadas quando um erro relacionado à segurança é acionado (como um bloqueio, limitação de taxa ou modo Estou sob ataque)

Aplicativos

TODO

Proteção contra Scraping

• Verificar se a Ofuscação de Endereço de Email está ativada

• Verificar se os Exclusões do Lado do Servidor estão ativadas

Zaraz

TODO

Web3

TODO