DNSレコードを介してオリジンIPアドレスの暴露について警告する
DNSレコードを介してオリジンIPアドレスの暴露について警告する
グレー色の雲マークが付いたDNSレコードがある場合、Cloudflareは、DNSレコードがオリジンサーバーのIPアドレスを暴露する可能性があることを警告することがあります。 これは、Aレコード、AAAAレコード、CNAMEレコード、およびMX DNSレコードで最も一般的です。
概要
DNSレコードがオレンジ色の雲マークになると、Cloudflareはサイトの読み込み速度を速めてサイトを保護します。
オレンジ色の雲マークが付いたルートドメインに対する dig クエリは、Cloudflare IPアドレスを返します。これにより、オリジンサーバーのIPアドレスは非公開のままとなります。オレンジ色の雲マークのメリットは、HTTPトラフィックに対してのみ適用されます。
特定の状況では、オリジンサーバーのIPアドレスを暴露する可能性のあるグレー色の雲マークが付いたDNSレコードがある場合に、Cloudflareダッシュボードの DNS アプリの「 DNSレコード 」パネルには警告が表示されます。この警告は、サイトへのトラフィックをブロックしたり、何らかの影響を与えたりすることはありません。
サーバーのIPアドレスが暴露されると、サーバーは直接攻撃に対してより脆弱になります。 Cloudflareに トラフィックをプロキシする際に、攻撃者がオリジンサーバーのIPアドレスを特定することは依然として可能ですが、より難しくなります。
次のような2つのケースでCloudflareはIP暴露についての警告を表示します。
次の警告が表示される場合:
このレコードはオリジンサーバーのIPサーバーを暴露しています。オリジンIPアドレスを非表示にするには、サーバーセキュリティを強化して、グレー色の雲マークをクリックしてオレンジ色に変えます。
Cloudflareは、レコードをオレンジ色の雲マークにすることを推奨します。そうすることで、そのレコードに対するdigクエリはCloudflare IPアドレスを返し、オリジンサーバーのIPアドレスは非公開のままとなります。
パフォーマンスとセキュリティを向上させるCloudflareのメリットを活すために、A、AAAA、およびCNAMEを含むHTTPトラフィックを処理するDNSレコードをオレンジ色の雲マークにすることをお勧めします。
ケース2 - グレー色の雲マークにする必要があるDNSレコード
サイトをホストしている同じオリジンサーバーを指すグレー色の雲マークが付いた Aレコード、 AAAAレコード、 _CNAMEレコード_または MXレコード がある場合、Cloudflareは次のいずれか1つの警告を表示します:
Aレコード、AAAAレコード、CNAMEレコード、またはMXレコードが、オリジンIPを暴露するオリジンサーバーを指しています。
このレコードは、オリジンサーバーのIPアドレスを暴露し、Dos攻撃の危険に晒しています。
こうしたレコードに対する dig クエリは、オリジンサーバーのIPアドレスを暴露します。この情報は、攻撃者がオリジンサービスを直接標的にすることを容易にします。
しかし、一部のDNSレコードをグレー色の雲マークにする必要がある場合があります。例:
- 同じ物理サーバー上で複数のサービス(Webサイトとメール)をホストしなければならない場合
このリスクを軽減するため、以下のことを行うことを推奨します:
- 回避できないグレー色の雲マークが付いたDNSレコードがある場合、同じオリジンサーバー上で複数のサービスをホストすることの影響を分析します。
- ルートドメインと同じオリジンIPアドレスを共有し、Cloudflareを通じて安全にプロキシできるすべてのレコードをオレンジ色の雲マークにします。