# Cloudflare Domains {{#include ../../banners/hacktricks-training.md}} In jeder in Cloudflare konfigurierten TLD gibt es einige **allgemeine Einstellungen und Dienste**, die konfiguriert werden können. Auf dieser Seite werden wir die **sicherheitsrelevanten Einstellungen** jeder Sektion **analysieren:**
### Übersicht - [ ] Ein Gefühl dafür bekommen, **wie viel** die Dienste des Kontos **genutzt** werden - [ ] Finde auch die **Zone-ID** und die **Kontonummer** ### Analytik - [ ] In **`Sicherheit`** überprüfen, ob es eine **Ratenbegrenzung** gibt ### DNS - [ ] Überprüfen Sie **interessante** (sensible?) Daten in den DNS-**Einträgen** - [ ] Überprüfen Sie auf **Subdomains**, die **sensible Informationen** nur basierend auf dem **Namen** enthalten könnten (wie admin173865324.domin.com) - [ ] Überprüfen Sie auf Webseiten, die **nicht** **proxied** sind - [ ] Überprüfen Sie auf **proxifizierte Webseiten**, die **direkt** über CNAME oder IP-Adresse **zugänglich** sind - [ ] Überprüfen Sie, dass **DNSSEC** **aktiviert** ist - [ ] Überprüfen Sie, dass **CNAME Flattening** in **allen CNAMEs** **verwendet** wird - Dies könnte nützlich sein, um **Subdomain-Übernahmeanfälligkeiten** zu **verbergen** und die Ladezeiten zu verbessern - [ ] Überprüfen Sie, dass die Domains [**nicht anfällig für Spoofing sind**](https://book.hacktricks.xyz/network-services-pentesting/pentesting-smtp#mail-spoofing) ### **E-Mail** TODO ### Spectrum TODO ### SSL/TLS #### **Übersicht** - [ ] Die **SSL/TLS-Verschlüsselung** sollte **Voll** oder **Voll (Streng)** sein. Jede andere wird irgendwann **Klartextverkehr** senden. - [ ] Der **SSL/TLS-Empfehlungsdienst** sollte aktiviert sein #### Edge-Zertifikate - [ ] **Immer HTTPS verwenden** sollte **aktiviert** sein - [ ] **HTTP Strict Transport Security (HSTS)** sollte **aktiviert** sein - [ ] **Minimale TLS-Version sollte 1.2** sein - [ ] **TLS 1.3 sollte aktiviert** sein - [ ] **Automatische HTTPS-Umschreibungen** sollten **aktiviert** sein - [ ] **Zertifikatstransparenzüberwachung** sollte **aktiviert** sein ### **Sicherheit** - [ ] Im **`WAF`**-Bereich ist es interessant zu überprüfen, ob **Firewall** und **Ratenbegrenzungsregeln verwendet werden**, um Missbrauch zu verhindern. - Die **`Bypass`**-Aktion wird die **Cloudflare-Sicherheits**-Funktionen für eine Anfrage **deaktivieren**. Sie sollte nicht verwendet werden. - [ ] Im **`Page Shield`**-Bereich wird empfohlen zu überprüfen, ob es **aktiviert** ist, wenn eine Seite verwendet wird - [ ] Im **`API Shield`**-Bereich wird empfohlen zu überprüfen, ob es **aktiviert** ist, wenn eine API in Cloudflare exponiert ist - [ ] Im **`DDoS`**-Bereich wird empfohlen, die **DDoS-Schutzmaßnahmen** zu aktivieren - [ ] Im **`Einstellungen`**-Bereich: - [ ] Überprüfen Sie, dass das **`Sicherheitsniveau`** **mittel** oder höher ist - [ ] Überprüfen Sie, dass die **`Challenge Passage`** maximal 1 Stunde beträgt - [ ] Überprüfen Sie, dass die **`Browser-Integritätsprüfung`** **aktiviert** ist - [ ] Überprüfen Sie, dass die **`Privacy Pass Support`** **aktiviert** ist #### **CloudFlare DDoS-Schutz** - Wenn möglich, aktivieren Sie den **Bot Fight Mode** oder den **Super Bot Fight Mode**. Wenn Sie eine API programmgesteuert (z. B. von einer JS-Frontend-Seite) schützen, können Sie dies möglicherweise nicht aktivieren, ohne den Zugriff zu beeinträchtigen. - In **WAF**: Sie können **Ratenlimits nach URL-Pfad** oder für **verifizierte Bots** (Ratenbegrenzungsregeln) erstellen oder den **Zugriff** basierend auf IP, Cookie, Referrer... **blockieren**. So könnten Sie Anfragen blockieren, die nicht von einer Webseite stammen oder kein Cookie haben. - Wenn der Angriff von einem **verifizierten Bot** kommt, fügen Sie mindestens ein **Ratenlimit** für Bots hinzu. - Wenn der Angriff auf einen **bestimmten Pfad** abzielt, fügen Sie als Präventionsmechanismus ein **Ratenlimit** in diesem Pfad hinzu. - Sie können auch IP-Adressen, IP-Bereiche, Länder oder ASNs aus den **Tools** in WAF **whitelisten**. - Überprüfen Sie, ob **verwaltete Regeln** auch helfen könnten, um die Ausnutzung von Schwachstellen zu verhindern. - Im **Tools**-Bereich können Sie **bestimmte IPs** und **Benutzeragenten blockieren oder eine Herausforderung stellen.** - In DDoS könnten Sie **einige Regeln überschreiben, um sie restriktiver zu machen**. - **Einstellungen**: Setzen Sie das **Sicherheitsniveau** auf **Hoch** und auf **Unter Angriff**, wenn Sie unter Angriff stehen und die **Browser-Integritätsprüfung aktiviert ist**. - In Cloudflare Domains -> Analytik -> Sicherheit -> Überprüfen Sie, ob die **Ratenbegrenzung** aktiviert ist - In Cloudflare Domains -> Sicherheit -> Ereignisse -> Überprüfen Sie auf **entdeckte bösartige Ereignisse** ### Zugriff {{#ref}} cloudflare-zero-trust-network.md {{#endref}} ### Geschwindigkeit _Ich konnte keine Option im Zusammenhang mit Sicherheit finden_ ### Caching - [ ] Im **`Konfiguration`**-Bereich sollten Sie in Betracht ziehen, das **CSAM-Scanning-Tool** zu aktivieren ### **Workers-Routen** _Sie sollten bereits_ [_cloudflare workers_](./#workers) _überprüft haben_ ### Regeln TODO ### Netzwerk - [ ] Wenn **`HTTP/2`** **aktiviert** ist, sollte **`HTTP/2 zu Origin`** **aktiviert** sein - [ ] **`HTTP/3 (mit QUIC)`** sollte **aktiviert** sein - [ ] Wenn die **Privatsphäre** Ihrer **Benutzer** wichtig ist, stellen Sie sicher, dass **`Onion Routing`** **aktiviert** ist ### **Verkehr** TODO ### Benutzerdefinierte Seiten - [ ] Es ist optional, benutzerdefinierte Seiten zu konfigurieren, wenn ein sicherheitsbezogenes Problem auftritt (wie eine Blockierung, Ratenbegrenzung oder Ich bin im Angriffsmodus) ### Apps TODO ### Scrape Shield - [ ] Überprüfen Sie, ob die **E-Mail-Adressenobfuskation** **aktiviert** ist - [ ] Überprüfen Sie, ob die **Serverseitigen Ausschlüsse** **aktiviert** sind ### **Zaraz** TODO ### **Web3** TODO {{#include ../../banners/hacktricks-training.md}}