Avertissement concernant l’exposition de votre adresse IP d’origine via des enregistrements DNS

Lorsque vous avez des enregistrements DNS en nuage gris, Cloudflare peut vous avertir que vos enregistrements DNS sont susceptibles de révéler l’adresse IP de votre serveur d’origine. Cela se produit le plus souvent avec les enregistrements DNS A, AAAA, CNAME et MX.


Présentation

Lorsque vos enregistrements DNS sont en nuage orange, Cloudflare accélère et protège votre site.

Une requête dig sur votre domaine racine en nuage orange, renvoie une adresse IP Cloudflare. De cette manière, l’adresse IP de votre serveur d’origine reste cachée au public. N’oubliez pas que les avantages du nuage orange ne s’appliquent qu’au trafic HTTP.

Dans certaines circonstances, le panneau Enregistrements DNS de l’application DNS du tableau de bord de Cloudflare, affiche un avertissement lorsque vous avez des enregistrements DNS en nuage gris qui peuvent révéler l’adresse IP de votre serveur d’origine. Cet avertissement n’affecte en aucune façon le trafic destiné à votre site.

Lorsque l’adresse IP de votre serveur est exposée, votre serveur est plus vulnérable aux attaques directes.  Les pirates peuvent toujours déterminer ladresse IP de votre serveur d'origine (mais c'est plus difficile) lorsqu'ils envoient du trafic vers Cloudflare.

Vous trouverez ci-dessous deux cas dans lesquels vous pourriez voir un avertissement d’exposition IP de la part de Cloudflare.


Situation 1 : des enregistrements DNS qui devraient être en nuage orange

Si vous voyez l’avertissement suivant :

Cet enregistrement expose l’adresse IP de votre serveur d’origine. Pour masquer votre adresse IP d’origine et augmenter la sécurité de votre serveur, cliquez sur le nuage gris pour le changer en orange.

Cloudflare recommande de mettre en nuage orange l’enregistrement, afin que toute requête dig relative à cet enregistrement retourne une adresse IP Cloudflare et que l’adresse IP de votre serveur d’origine reste masquée au public.

Pour tirer parti des avantages de Cloudflare en termes de performances et de sécurité, nous vous recommandons de mettre en nuage orange les enregistrements DNS qui gèrent le trafic HTTP, notamment A, AAAA et CNAME. Cependant, n'affichez pas le nuage orange des enregistrements A, AAAA ou CNAME utilisés pour résoudre les enregistrements MX.  Par exemple, si vous avez un enregistrement MX qui dirige vers mail.example.com en tant que serveur de messagerie, un nuage orange sur l'enregistrement A demail.example.com interrompra votre trafic mail.


Situation 2 : les enregistrements DNS devant être en nuage gris

Lorsque vous avez défini en nuage gris un enregistrementA, AAAA, CNAME ou MX pointant vers le même serveur d’origine hébergeant votre site, Cloudflare affiche l’un des avertissements suivants :

Un enregistrement A, AAA, CNAME ou MX est dirigé vers votre serveur d’origine exposant votre IP d’origine.

Cet enregistrement expose l’adresse IP de votre serveur d’origine, ce qui l’expose potentiellement à un déni de service.

Les enregistrements DNS joker "*" ne peuvent être envoyés par proxy à Cloudflare que pour les domaines Enterprise Plan. Pour tous les autres plans, un enregistrement DNS joker révèle l’adresse IP d’origine.

Une requête dig sur ces enregistrements révèle l’adresse IP de votre serveur d’origine. Ces informations permettent aux pirates potentiels de cibler plus facilement votre serveur d’origine.

Cependant, il peut arriver que certains de vos enregistrements DNS doivent rester en nuage gris. Par exemple :

  • Les enregistrements A, AAAA ou CNAME utilisés pour le trafic de courrier ne doivent pas avoir un nuage orange car le routage du courrier ne passe pas par le proxy Cloudflare.
  • Lorsque vous devez héberger plusieurs services (par exemple, un site Web et une messagerie électronique) sur le même serveur physique.

Pour atténuer ce risque, nous vous recommandons :

  • d’héberger votre service de messagerie sur un serveur (interne ou externe) différent de celui de votre site ;
  • d’analyser les conséquences de l’hébergement de plusieurs services sur le même serveur d’origine lorsque des enregistrements DNS en nuage gris sont inévitables
  • de mettre en nuage orange tous les enregistrements qui partagent la même adresse IP d’origine que votre domaine racine et que vous pouvez mettre en proxy en toute sécurité via Cloudflare
Vous n'avez toujours pas trouvé ce que vous cherchez ?

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Réalisé par Zendesk