Module 4

Inhoud

Cloudflare Application Security kent naast de WAF en DNS nog meer onderdelen op het gebied van security en performance. In deze module gaan we aan de slag met een aantal van deze functionaliteiten.

Goed om te weten

Onder Rules vind je verschillende type rules waarmee je voor geproxiede domeinen aanpassingen kan maken aan een request en de response
Voor de meest voorkomende usecases heeft Cloudflare templates beschikbaar in rules

Opdracht 1: Maak een redirect aan van apex naar www

In Cloudfare kan je zowel individuele als bulkredirects instellen. Om duplicate content te voorkomen (pagina's die zowel op apex domein als www subdomein worden gepubliceerd en geindexeerd), moet er een redirect komen van het apex naar het www domein. Dit subdomein bestaat nog niet in je DNS

Maak een DNS record (A of CNAME) aan voor het www subdomein

Maak een redirect rule aan die al het verkeer doorstuurt van het apex- naar het www subdomein.

Controleer dat de redirect rule correct werkt

Opdracht 2: Documenten uitsluiten van cachen

Cloudflare cached als default alle statische content waaronder plaatjes en documenten. Omdat bepaalde documenten vaak geupdate worden, bestaat het gevaar dat bezoekers gedateerde informatie downloaden. De wens is daarom om deze documenten direct te downloaden van de server.

Maak een cache regel aan die doc, docx en pdf documenten uitsluit van caching.

Opdracht 3: Bereikbaarheid reserveringsformulier

Het is voor Detour belangrijk dat klanten altijd gebruik kunnen maken van het reserveringsformulier dus hier moet goed op gemonitored worden. In Cloudflare kan je health checks instellen om te meten of een specifek endpoint nog steeds bereikbaar is.

Stel een health check in voor het /reservation path

Opdracht 4: Verscherp het online veiligheidsprofiel van Detour

De Security officer heeft een lijst met maatregelen opgesteld om het veiligheidsprofiel van de website te verbeteren. Voer in Cloudflare de volgende acties door.

DNSSEC

DNSSEC (Domain Name System Security Extensions) is een set van uitbreidingen voor het Domain Name System (DNS) die extra beveiliging biedt tegen bepaalde soorten aanvallen, zoals cache poisoning en man-in-the-middle-aanvallen. Het zorgt ervoor dat de antwoorden op DNS-verzoeken geverifieerd kunnen worden, zodat je zeker weet dat je de juiste informatie krijgt. DNSSEC wordt bij deze training geactiveerd voor een subdomein zone.

Activeer DNSSEC voor je lab zone en voer het DS record op via een formulier

CAA records

CAA-records (Certification Authority Authorization records) zijn een type DNS-record dat aangeeft welke certificeringsautoriteiten (CA's) bevoegd zijn om SSL/TLS-certificaten uit te geven voor een bepaald domein. Ze helpen te voorkomen dat een onbevoegde partij een certificaat voor jouw domein aanvraagt, wat de veiligheid vergroot. Cloudflare genereert bij Universal SSL automatisch certificaten van verschillende aanbieders zoals Google Trust. CAA Records moeten al deze aanbieders afvangen.

Voeg CAA records toe voor je lab zone. Bij Cloudflare hoef je dat voor maar 1 autoriteit te doen waarna de andere records automatisch worden toegevoegd

Controleer dat alle CAA records zijn toegevoegd met bijvoorbeeld een dig labx.salt-security-labs.com caa opdracht in de CLI

Dwing af via een instelling (geen rule) dat al het http verkeer wordt geredirect naar https

Regulier HTTP verkeer gaat standaard via poort 80 of 443. Er zijn echter ook andere poorten benaderbaar in Cloudflare.

Activeer een managed rule van Cloudflare die alle poorten blokkeert behalve 80 en 443.

Bonus Opdracht 5: Deactiveer Browser Integrity Check voor specifiek path

De Browser Integrity Check (BIC) van Cloudflare zoekt naar veelvoorkomende HTTP-headers die het vaakst door spammers worden gebruikt. Ook confronteert het bezoekers zonder user-agent of met een niet-standaard user-agent, zoals vaak wordt gebruikt door bots, crawlers of bezoekers die misbruik maken van de functionaliteit. Browser Integrity Check staat per default aan een geeft nu problemen op het /deals path met een API.

Gebruik een configuratie rule om de Browser Integrity Check te deactiveren voor het /deals path van Detour