Cloudflare Domains

Reading time: 4 minutes

Cloudflare에 구성된 각 TLD에는 구성할 수 있는 일반 설정 및 서비스가 있습니다. 이 페이지에서는 각 섹션의 보안 관련 설정을 분석할 것입니다:

개요

• 계정의 서비스가 얼마나 사용되고 있는지 파악하기
• 존 ID와 계정 ID 찾기

분석

• **Security**에서 Rate limiting이 있는지 확인하기

DNS

• DNS 레코드에서 흥미로운 (민감한?) 데이터 확인하기
• 이름에 따라 민감한 정보를 포함할 수 있는 서브도메인 확인하기 (예: admin173865324.domin.com)
• 프록시되지 않은 웹 페이지 확인하기
• CNAME 또는 IP 주소로 직접 접근할 수 있는 프록시된 웹 페이지 확인하기
• DNSSEC가 활성화되어 있는지 확인하기
• 모든 CNAME에서 CNAME Flattening이 사용되고 있는지 확인하기
• 이는 서브도메인 탈취 취약점을 숨기고 로드 시간을 개선하는 데 유용할 수 있습니다.
• 도메인이 스푸핑에 취약하지 않은지 확인하기

이메일

TODO

스펙트럼

TODO

SSL/TLS

개요

• SSL/TLS 암호화는 Full 또는 **Full (Strict)**이어야 합니다. 다른 경우에는 어느 시점에서 명확한 텍스트 트래픽이 전송됩니다.
• SSL/TLS 추천기가 활성화되어야 합니다.

엣지 인증서

• 항상 HTTPS 사용이 활성화되어야 합니다.
• **HTTP 엄격 전송 보안 (HSTS)**가 활성화되어야 합니다.
• 최소 TLS 버전은 1.2여야 합니다.
• TLS 1.3이 활성화되어야 합니다.
• 자동 HTTPS 재작성이 활성화되어야 합니다.
• 인증서 투명성 모니터링이 활성화되어야 합니다.

보안

• WAF 섹션에서 방화벽 및 속도 제한 규칙이 사용되고 있는지 확인하는 것이 흥미롭습니다.
• Bypass 작업은 요청에 대해 Cloudflare 보안 기능을 비활성화합니다. 사용해서는 안 됩니다.
• Page Shield 섹션에서 페이지가 사용되는 경우 활성화되어 있는지 확인하는 것이 좋습니다.
• API Shield 섹션에서 Cloudflare에 노출된 API가 있는 경우 활성화되어 있는지 확인하는 것이 좋습니다.
• DDoS 섹션에서 DDoS 보호를 활성화하는 것이 좋습니다.
• Settings 섹션에서:
• **Security Level**이 중간 이상인지 확인하기
• **Challenge Passage**가 최대 1시간인지 확인하기
• **Browser Integrity Check**가 활성화되어 있는지 확인하기
• **Privacy Pass Support**가 활성화되어 있는지 확인하기

CloudFlare DDoS 보호

• 가능하다면 Bot Fight Mode 또는 Super Bot Fight Mode를 활성화하세요. 프로그램적으로 접근하는 API를 보호하는 경우 (예: JS 프론트 엔드 페이지에서) 이 기능을 활성화할 수 없을 수 있습니다.
• WAF에서: URL 경로별로 속도 제한을 생성하거나 검증된 봇에 대해 (속도 제한 규칙), 또는 IP, 쿠키, 리퍼러 등을 기반으로 접근 차단을 할 수 있습니다. 따라서 웹 페이지에서 오지 않거나 쿠키가 없는 요청을 차단할 수 있습니다.
• 공격이 검증된 봇에서 발생하는 경우, 최소한 봇에 대한 속도 제한을 추가하세요.
• 공격이 특정 경로에 대한 경우, 예방 메커니즘으로 이 경로에 속도 제한을 추가하세요.
• 도구에서 IP 주소, IP 범위, 국가 또는 ASN을 허용 목록에 추가할 수 있습니다.
• 관리 규칙이 취약점 악용 방지에 도움이 될 수 있는지 확인하세요.
• 도구 섹션에서 특정 IP 및 사용자 에이전트에 대해 차단하거나 도전 과제를 제공할 수 있습니다.
• DDoS에서 일부 규칙을 재정의하여 더 제한적으로 만들 수 있습니다.
• 설정: Security Level을 높음으로 설정하고 Under Attack으로 설정하세요. 공격을 받고 있고 Browser Integrity Check가 활성화되어 있어야 합니다.
• Cloudflare Domains -> Analytics -> Security -> 속도 제한이 활성화되어 있는지 확인하세요.
• Cloudflare Domains -> Security -> Events -> 탐지된 악성 이벤트를 확인하세요.

접근

Cloudflare Zero Trust Network

속도

보안과 관련된 옵션을 찾을 수 없었습니다.

캐싱

• Configuration 섹션에서 CSAM 스캐닝 도구를 활성화하는 것을 고려하세요.

워커 경로

이미 cloudflare workers를 확인했어야 합니다.

규칙

TODO

네트워크

• **HTTP/2**가 활성화되어 있다면, **HTTP/2 to Origin**도 활성화되어야 합니다.
• **HTTP/3 (with QUIC)**가 활성화되어야 합니다.
• 사용자의 프라이버시가 중요하다면, **Onion Routing**이 활성화되어 있는지 확인하세요.

트래픽

TODO

사용자 정의 페이지

• 보안과 관련된 오류가 발생할 때 사용자 정의 페이지를 구성하는 것은 선택 사항입니다 (예: 차단, 속도 제한 또는 공격 모드).

앱

TODO

스크랩 방지

• 이메일 주소 난독화가 활성화되어 있는지 확인하세요.
• 서버 측 제외가 활성화되어 있는지 확인하세요.

Zaraz

TODO

Web3

TODO