Cloudflare Zero Trust Network

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subscription plans!
• Sluit aan by die 💬 Discord group of die telegram group of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking tricks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.

In ’n Cloudflare Zero Trust Network rekening is daar ’n paar instellings en dienste wat gekonfigureer kan word. Op hierdie bladsy gaan ons die veiligheidsverwante instellings van elke afdeling analiseer:

Analytics

• Nuttig om die omgewing te leer ken

Gateway

• In Policies is dit moontlik om beleide te genereer om te beperk deur DNS, netwerk of HTTP versoek wie toegang tot toepassings kan hê.
• As gebruik, kan beleide geskep word om die toegang tot kwaadwillige webwerwe te beperk.
• Dit is slegs relevant as ’n gateway gebruik word, indien nie, is daar geen rede om defensiewe beleide te skep nie.

Access

Applications

Op elke toepassing:

• Kontroleer wie toegang tot die toepassing kan hê in die Policies en maak seker dat slegs die gebruikers wat toegang nodig het tot die toepassing toegang kan hê.
• Om toegang toe te laat, gaan Access Groups gebruik word (en addisionele reëls kan ook gestel word)
• Kontroleer die beskikbare identiteitsverskaffers en maak seker hulle is nie te oop nie
• In Settings:
• Kontroleer dat CORS nie geaktiveer is nie (as dit geaktiveer is, kontroleer dat dit veilig is en nie alles toelaat nie)
• Koekies moet die Strict Same-Site attribuut hê, HTTP Only en binding cookie moet geaktiveer wees as die toepassing HTTP is.
• Oorweeg om ook Browser rendering te aktiveer vir beter beskerming. Meer inligting oor remote browser isolation hier.

Access Groups

• Kontroleer dat die toegangsgroepe wat gegenereer is korrek beperk is tot die gebruikers wat hulle moet toelaat.
• Dit is veral belangrik om te kontroleer dat die standaard toegangsgroep nie te oop is nie (dit laat nie te veel mense toe nie) aangesien standaard enige iemand in daardie groep toegang tot toepassings gaan hê.
• Let daarop dat dit moontlik is om toegang aan ELKEEN te gee en ander baie oop beleide wat nie aanbeveel word nie, tensy 100% noodsaaklik.

Service Auth

• Kontroleer dat alle diens tokens verval in 1 jaar of minder

Tunnels

TODO

My Team

TODO

Logs

• Jy kan soek na onverwagte aksies van gebruikers

Settings

• Kontroleer die plan tipe
• Dit is moontlik om die kredietkaart eienaar se naam, laaste 4 syfers, verval datum en adres te sien
• Dit word aanbeveel om ’n User Seat Expiration toe te voeg om gebruikers te verwyder wat nie regtig hierdie diens gebruik nie

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subscription plans!
• Sluit aan by die 💬 Discord group of die telegram group of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking tricks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.