DNSレコードを介してオリジンIPアドレスの暴露について警告する

​​ DNSレコードを介してオリジンIPアドレスの暴露について警告する

グレー色の雲マークが付いたDNSレコードがある場合、Cloudflareは、DNSレコードがオリジンサーバーのIPアドレスを暴露する可能性があることを警告することがあります。 これは、Aレコード、AAAAレコード、CNAMEレコード、およびMX DNSレコードで最も一般的です。

​​ 概要

DNSレコードがオレンジ色の雲マークになると、Cloudflareはサイトの読み込み速度を速めてサイトを保護します。

オレンジ色の雲マークが付いたルートドメインに対する dig クエリは、Cloudflare IPアドレスを返します。これにより、オリジンサーバーのIPアドレスは非公開のままとなります。オレンジ色の雲マークのメリットは、HTTPトラフィックに対してのみ適用されます。

特定の状況では、オリジンサーバーのIPアドレスを暴露する可能性のあるグレー色の雲マークが付いたDNSレコードがある場合に、Cloudflareダッシュボードの DNS アプリの「 DNSレコード 」パネルには警告が表示されます。この警告は、サイトへのトラフィックをブロックしたり、何らかの影響を与えたりすることはありません。

サーバーのIPアドレスが暴露されると、サーバーは直接攻撃に対してより脆弱になります。 Cloudflareに トラフィックをプロキシする際に、攻撃者がオリジンサーバーのIPアドレスを特定することは依然として可能ですが、より難しくなります。

次のような2つのケースでCloudflareはIP暴露についての警告を表示します。

次の警告が表示される場合：

このレコードはオリジンサーバーのIPサーバーを暴露しています。オリジンIPアドレスを非表示にするには、サーバーセキュリティを強化して、グレー色の雲マークをクリックしてオレンジ色に変えます。

Cloudflareは、レコードをオレンジ色の雲マークにすることを推奨します。そうすることで、そのレコードに対するdigクエリはCloudflare IPアドレスを返し、オリジンサーバーのIPアドレスは非公開のままとなります。

パフォーマンスとセキュリティを向上させるCloudflareのメリットを活すために、A、AAAA、およびCNAMEを含むHTTPトラフィックを処理するDNSレコードをオレンジ色の雲マークにすることをお勧めします。

​​ ケース2 - グレー色の雲マークにする必要があるDNSレコード

サイトをホストしている同じオリジンサーバーを指すグレー色の雲マークが付いた Aレコード、 AAAAレコード、 _CNAMEレコード_または MXレコード がある場合、Cloudflareは次のいずれか1つの警告を表示します：

Aレコード、AAAAレコード、CNAMEレコード、またはMXレコードが、オリジンIPを暴露するオリジンサーバーを指しています。

このレコードは、オリジンサーバーのIPアドレスを暴露し、Dos攻撃の危険に晒しています。

こうしたレコードに対する dig クエリは、オリジンサーバーのIPアドレスを暴露します。この情報は、攻撃者がオリジンサービスを直接標的にすることを容易にします。

しかし、一部のDNSレコードをグレー色の雲マークにする必要がある場合があります。例：

• 同じ物理サーバー上で複数のサービス（Webサイトとメール）をホストしなければならない場合

このリスクを軽減するため、以下のことを行うことを推奨します：

• 回避できないグレー色の雲マークが付いたDNSレコードがある場合、同じオリジンサーバー上で複数のサービスをホストすることの影響を分析します。
• ルートドメインと同じオリジンIPアドレスを共有し、Cloudflareを通じて安全にプロキシできるすべてのレコードをオレンジ色の雲マークにします。