Cloudflare Domains

У кожному TLD, налаштованому в Cloudflare, є деякі загальні налаштування та сервіси, які можна налаштувати. На цій сторінці ми збираємося проаналізувати налаштування, пов'язані з безпекою, кожного розділу:

Огляд

• Оцініть, наскільки використовуються послуги облікового запису

• Також знайдіть ідентифікатор зони та ідентифікатор облікового запису

Аналітика

• У Безпеці перевірте, чи є обмеження швидкості

DNS

• Перевірте цікаві (чутливі?) дані в DNS записах

• Перевірте піддомени, які можуть містити чутливу інформацію лише на підставі назви (наприклад, admin173865324.domin.com)

• Перевірте веб-сторінки, які не проксіюються

• Перевірте проксійовані веб-сторінки, до яких можна звертатися безпосередньо за допомогою CNAME або IP-адреси

• Перевірте, що DNSSEC увімкнено

• Перевірте, що CNAME Flattening використовується в усіх CNAME

• Це може бути корисно для приховування вразливостей підконтрольних піддоменів та покращення часу завантаження

• Перевірте, що домени не є вразливими для підробки

Електронна пошта

TODO

Спектр

TODO

SSL/TLS

Огляд

• Шифрування SSL/TLS повинно бути Повним або Повністю строгим. Будь-яке інше буде відправляти текстовий трафік на певний момент.

• Рекомендується увімкнути Рекомендації щодо SSL/TLS

Сертифікати Edge

• Завжди використовуйте HTTPS повинно бути увімкнено

• Строгий захист транспортного рівня HTTP (HSTS) повинен бути увімкнений

• Мінімальна версія TLS повинна бути 1.2

• TLS 1.3 повинен бути увімкнений

• Автоматичні перезаписи HTTPS повинні бути увімкнені

• Моніторинг прозорості сертифікатів повинен бути увімкнений

Безпека

• У розділі WAF цікаво перевірити, що використовуються правила брандмауера та обмеження швидкості для запобігання зловживанням.

• Дія Обхід вимкне функції безпеки Cloudflare для запиту. Це не повинно використовуватися.

• У розділі Захист сторінки рекомендується перевірити, що він увімкнений, якщо використовується будь-яка сторінка

• У розділі Захист API рекомендується перевірити, що він увімкнений, якщо будь-яке API викладено в Cloudflare

• У розділі DDoS рекомендується увімкнути захист від DDoS-атак

• У розділі Налаштування:

• Перевірте, що Рівень безпеки є середнім або вище

• Перевірте, що Прохід виклику не перевищує 1 годину

• Перевірте, що Перевірка цілісності браузера увімкнена

• Перевірте, що Підтримка приватності Pass увімкнена

Захист від DDoS CloudFlare

• Якщо можливо, увімкніть Режим боротьби з ботами або Супер режим боротьби з ботами. Якщо ви захищаєте якусь API, до якої програмно звертаються (наприклад, з JS сторінки фронтенду). Можливо, ви не зможете це увімкнути без порушення цього доступу.

• У WAF: Ви можете створити обмеження швидкості за шляхом URL або для перевірених ботів (Правила обмеження швидкості), або для блокування доступу на основі IP, Cookie, referrer...). Таким чином, ви можете блокувати запити, які не надходять з веб-сторінки або не мають cookie.

• Якщо атака відбувається від перевіреного бота, принаймні додайте обмеження швидкості для ботів.

• Якщо атака спрямована на конкретний шлях, як запобіжний механізм, додайте обмеження швидкості на цьому шляху.

• Ви також можете додати в білий список IP-адреси, діапазони IP, країни або ASNs з Інструментів в WAF.

• Перевірте, чи Керовані правила також можуть допомогти у запобіганні використанню вразливостей.

• У розділі Інструменти ви можете блокувати або встановлювати виклик для конкретних IP-адрес та агентів користувачів.

• У DDoS ви можете перевизначити деякі правила, щоб зробити їх більш обмеженими.

• Налаштування: Встановіть Рівень безпеки на Високий та на Під атакою, якщо ви під атакою, і переконайтеся, що Перевірка цілісності браузера увімкнена.

• У Cloudflare Домени -> Аналітика -> Безпека -> Перевірте, чи увімкнено обмеження швидкості

• У Cloudflare Домени -> Безпека -> Події -> Перевірте наявність виявлених зловмисних подій

Доступ

Швидкість

Я не зміг знайти жодної опції, пов'язаної з безпекою

Кешування

• У розділі Конфігурація розгляньте можливість увімкнення Інструменту сканування CSAM

Маршрути робітників

Ви вже мали перевірити робітників Cloudflare

Правила

TODO

Мережа

• Якщо HTTP/2 увімкнено, HTTP/2 до початкового джерела повинно бути увімкнено

• HTTP/3 (з QUIC) повинно бути увімкнено

• Якщо приватність ваших користувачів важлива, переконайтеся, що Onion Routing увімкнено

Трафік

TODO

Спеціальні сторінки

• Опціонально налаштуйте спеціальні сторінки, коли спрацьовує помилка, пов'язана з безпекою (наприклад, блокування, обмеження швидкості або режим "Я під атакою")

Додатки

TODO

Scrape Shield

• Перевірте, що Затемнення адреси електронної пошти увімкнено

• Перевірте, що Виключення на стороні сервера увімкнено

Зараз

TODO

Web3

TODO