Module 4

Inhoud

Cloudflare Application Security kent naast de WAF en DNS nog meer onderdelen op het gebied van security en performance. In deze module gaan we aan de slag met een aantal van deze functionaliteiten.

Goed om te weten

Onder Rules vind je verschillende type rules waarmee je voor geproxiede domeinen aanpassingen kan maken aan een request en de response
Voor de meest voorkomende usecases voor rules heeft Cloudflare templates beschikbaar

Opdracht 1: Maak een redirect aan van apex naar www

In Cloudfare kan je zowel individuele als bulredirects instellen. Om duplicate content te voorkomen moet er een redirect komen van het apex naar het www domein.

Maak een redirect rule aan die al het verkeer doorstuurt van het apex- naar het www subdomein.

Opdracht 2: Documenten uitsluiten van cachen

Cloudflare cached als default alle statische content waaronder plaatjes en documenten. Omdat bepaalde documenten vaak geupdate worden, bestaat het gevaar dat bezoekers gedateerde informatie downloaden. De wens is daarom om deze documenten direct te downloaden van de server.

Maak een cache regel aan die doc, docx en pdf documenten uitsluit van caching.

Opdracht 3: Bereikbaarheid reserveringsformulier

Het is voor Detour belangrijk dat klanten altijd gebruik kunnen maken van het reserveringsformulier dus hier moet goed op gemonitored worden. In Cloudflare kan je health checks instellen om te meten of een specifek endpoint nog steeds bereikbaar is.

Stel een health check in voor het /reservation path en koppel daar een alert notificatie aan.

Opdracht 4: Verscherp het online veiligheidsprofiel van Detour

De Security officer heeft een lijst met maatregelen opgesteld om het veiligheidsprofiel van de website te verbeteren. Voer in Cloudflare de volgende acties door.

DNSSEC

DNSSEC (Domain Name System Security Extensions) is een set van uitbreidingen voor het Domain Name System (DNS) die extra beveiliging biedt tegen bepaalde soorten aanvallen, zoals cache poisoning en man-in-the-middle-aanvallen. Het zorgt ervoor dat de antwoorden op DNS-verzoeken geverifieerd kunnen worden, zodat je zeker weet dat je de juiste informatie krijgt. DNSSEC wordt bij deze training geactiveerd voor een subdomein zone. DNSSEC records kan je weer delen met de trainers die ze voor de apex zone kunnen toevoegen in de DNS.

Activeer DNSSEC voor je lab zone

CAA records

CAA-records (Certification Authority Authorization records) zijn een type DNS-record dat aangeeft welke certificeringsautoriteiten (CA's) bevoegd zijn om SSL/TLS-certificaten uit te geven voor een bepaald domein. Ze helpen te voorkomen dat een onbevoegde partij een certificaat voor jouw domein aanvraagt, wat de veiligheid vergroot. Cloudflare genereert bij Universal SSL automatisch certificaten van verschillende aanbieders zoals Google Trust. CAA Records moeten al deze aanbieders afvangen.

Voeg CAA records toe voor je lab zone

Dwing af via een instelling (geen rule) dat al het http verkeer wordt geredirect naar https

Regulier HTTP verkeer gaat standaard via poort 80 of 443. Er zijn echter ook andere poorten benaderbaar in Cloudflare.

Activeer een managed rule van Cloudflare die alle poorten blokkeert behalve 80 en 443.

Bonus Opdracht 5: Deactiveer Browser Integrity Check voor specifiek path

De Browser Integrity Check (BIC) van Cloudflare zoekt naar veelvoorkomende HTTP-headers die het vaakst door spammers worden gebruikt. Ook confronteert het bezoekers zonder user-agent of met een niet-standaard user-agent, zoals vaak wordt gebruikt door bots, crawlers of bezoekers die misbruik maken van de functionaliteit. Browser Integrity Check staat per default aan een geeft nu problemen op het /deals path met een API.

Gebruik een configuratie rule om de Browser Integrity Check te deactiveren voor het /deals path van Detour