Advertencia sobre la exposición de tu dirección IP de origen a través de registros DNS

Si tienes registros DNS marcados con una nube gris, Cloudflare puede advertirte que existe la posibilidad de que tus registros DNS revelen la dirección IP de tu servidor de origen. Esto es común con registros DNS A, AAAA, CNAME y MX.


Información general

Cuando tus registros DNS tienen una nube naranja, Cloudflare se acelera y protege tu sitio.

Una consulta dig contra tu dominio raíz de nube naranja devuelve una dirección IP de Cloudflare. De este modo, la dirección IP de tu servidor de origen permanece oculta del público. Recuerda que los beneficios de la nube naranja solo se aplican al tráfico HTTP.

Bajo ciertas circunstancias, el panel de registros DNS en la aplicación DNS del panel de control de Cloudflare muestra una advertencia cada vez que tienes registros DNS marcados con una nube gris que puedan exponer la dirección IP de tu servidor de origen. Esta advertencia no bloquea ni afecta de ningún modo el tráfico dirigido a tu sitio.

Cuando se expone la dirección IP de tu servidor, este se vuelve más vulnerable a los ataques directos.  Todavía es posible (pero más difícil) que los atacantes determinen la dirección IP de tu servidor de origen durante el redireccionamiento mediante proxy a Cloudflare.

A continuación, hay dos casos en los cuales podrías ver una advertencia de exposición de IP en Cloudflare.


Caso 1: los registros DNS que deberían tener una nube naranja

Si ves la siguiente advertencia:

Este registro expone la dirección IP de tu servidor de origen. Para ocultar tu dirección IP de origen e incrementar la seguridad de tu servidor, haz clic en la nube gris para cambiarla a naranja.

Cloudflare recomienda asignar una nube naranja al registro para que cualquier consulta dig contra este devuelva una dirección IP de Cloudflare y la dirección IP de tu servidor de origen permanezca oculta del público.

Para aprovechar los beneficios de rendimiento y seguridad de Cloudflare, se recomienda tener registros DNS marcados con una nube naranja que manejan el tráfico HTTP, incluso los registros A, AAAA y CNAME. Sin embargo, no marques con una nube naranja los registros A, AAAA o CNAME usados para resolver los registros MX.  Por ejemplo, si tienes un registro MX que señala mail.example.com como tu servidor de correo, marcar con una nube naranja el registro A para mail.example.com interrumpirá tu tráfico de correo.


Caso 2: registros DNS que necesitan una nube gris

Cuando tienes un registro A, AAAA, CNAME o MX marcado con una nube gris que se dirija al mismo servidor de origen que aloja tu sitio, Cloudflare muestra una de las siguientes advertencias:

Un registro A, AAA, CNAME o MX se dirige a tu servidor de origen y expone tu IP de origen.

Este registro expone la dirección IP de tu servidor de origen, lo cual puede dejarla vulnerable ante la denegación de servicio.

Los registros DNS comodín “*” solo pueden redirigirse mediante proxy a Cloudflare para los dominios del plan Enterprise. Respecto a los otros planes, un registro DNS comodín revela la IP de origen.

Una consulta dig contra estos registros revela la dirección IP de tu servidor de origen. Esta información facilita a los posibles atacantes dirigirse directamente a tu servidor de origen.

Sin embargo, hay momentos en los que algunos de tus registros DNS necesitan conservar la nube gris. Por ejemplo:

  • Los registros A, AAAA o CNAME utilizados para tráfico de correo no deben ser marcados con una nube naranja porque el enrutamiento de correo no pasará a través del proxy de Cloudflare.
  • Cuando debes alojar varios servicios (por ejemplo, un sitio web y un correo electrónico) en el mismo servidor físico.

Para mitigar el riesgo, te recomendamos lo siguiente:

  • Aloja tu servicio de correo electrónico en un servidor (local o externo) diferente al servidor de origen de tu sitio.
  • Analiza el impacto de alojar varios servicios en el mismo servidor de origen en los casos en que no puede evitarse asignar una nube gris a los registros DNS.
  • Asigna una nube naranja a todos los registros que comparten la misma dirección IP que tu dominio raíz y pueden redirigirse mediante proxy de manera segura a través de Cloudflare.
¿No has encontrado una respuesta satisfactoria?

Nuestra herramienta de búsqueda puede contestar el 95% de las preguntas más comunes y es la mejor manera de conseguir una respuesta rápida.

Tecnología de Zendesk