公開されたIPアドレス
DNSレコードがプロキシ化されている場合、Cloudflareはあなたのサイトを高速化し、保護します。
digクエリをプロキシ化されたエイペックスドメインに対して実行すると、CloudflareのIPアドレスが返されます。この方法により、あなたのオリジンサーバーのIPアドレスは公に隠されます。オレンジの雲の利点はHTTPトラフィックにのみ適用されることを忘れないでください。
特定の状況下では、CloudflareダッシュボードのDNSアプリのDNSレコードパネルに、オリジンサーバーのIPアドレスを公開する可能性のあるDNSのみのレコードがある場合に警告が表示されます。この警告は、あなたのサイトに向かうトラフィックをブロックしたり、影響を与えたりすることはありません。
サーバーのIPアドレスが公開されると、サーバーは直接攻撃に対してより脆弱になります。トラフィックをCloudflareにプロキシ化している場合でも、攻撃者がオリジンサーバーのIPアドレスを特定することは可能ですが、より困難です。
以下は、CloudflareからIP公開警告を受け取る可能性のある2つのケースです。
次の警告を受け取った場合:
このレコードはオリジンサーバーのIPアドレスを公開しています。オリジンIPアドレスを隠し、サーバーのセキュリティを向上させるために、灰色の雲をクリックしてオレンジに変更してください。
Cloudflareは、digクエリがそのレコードに対してCloudflareのIPアドレスを返し、オリジンサーバーのIPアドレスが公に隠されるように、そのレコードをプロキシ化することを推奨します。
Cloudflareのパフォーマンスとセキュリティの利点を活用するために、HTTPトラフィックを処理するDNSレコード(A、AAAA、およびCNAMEレコードを含む)をプロキシ化することをお勧めします。
同じオリジンサーバーを指すDNSのみのA、AAAA、CNAME、またはMXレコードがある場合、Cloudflareは次のいずれかの警告を表示します:
A、AAAA、CNAME、またはMXレコードがオリジンサーバーを指しており、オリジンIPを公開しています。
このレコードはオリジンサーバーのIPアドレスを公開しており、サービス拒否攻撃にさらされる可能性があります。
これらのレコードに対するdigクエリは、オリジンサーバーのIPアドレスを明らかにします。この情報は、潜在的な攻撃者がオリジンサーバーを直接標的にするのを容易にします。
ただし、DNSのみのレコードを維持する必要がある場合もあります。たとえば、同じ物理サーバー上で複数のサービス(ウェブサイトとメールなど)をホストする必要があるかもしれません。
このリスクを軽減するために、次のことをお勧めします:
- DNSのみのレコードを持たざるを得ない場合に、同じオリジンサーバー上で複数のサービスをホストする影響を分析します。
- エイペックスドメインと同じオリジンIPアドレスを共有し、Cloudflareを通じて安全にプロキシ化できるすべてのレコードをプロキシ化します。