CloudFlare et IP

Résumé concernant l’exposition des adresses IP d’origines via des enregistrements DNS dans CloudFlare.

Adresse IP

Lorsque l’adresse IP d’un serveur est exposée, il devient plus vulnérable aux attaques directes. Si le domaine racine est protégé par CloudFlare (en nuage orange) une requête dig sur le domaine renverra une l’adresse IP de Cloudflare et celle du serveur d’origine restera cachée au public (Ceci ne s’appliquent qu’au trafic HTTP).

Il est cependant toujours possible de déterminer l’adresse IP du serveur d’origine (mais c’est plus difficile) lorsqu’on envoit du trafic vers Cloudflare.

@TODO : comprendre comment !

Cas ne fonctionnant pas

Si le domaine racine n’est pas protégé par CloudFlare (en nuage gris), un avertissement sera affiché indiquant que l’adresse IP du serveur d’origine est visible. Cet avertissement n’affecte en aucune façon le trafic destiné au site.

Les enregistrements A, AAAA ou CNAME utilisés pour le trafic de courrier ne doivent pas avoir un nuage orange car le routage du courrier ne passe pas par le proxy Cloudflare.

Enregistrement non supportés

- autodiscover - gameserver - panel - stream
- calendar - git - pda - streaming
- chat - google - pop - svn
- cPanel - imap - repo - vid
- cvs - irc - secure - video
- e - local - sftp - vids
- email - localhost - sites - vpn
- exchange - mail - smtp - webmail
- ftp - mobilemail - ssh - webstats
- game - mx - ssl

Piste pour le FTP

Spectrum : https://developers.cloudflare.com/spectrum/ftp

Documentation

https://support.cloudflare.com/hc/fr-fr/articles/115003687931-Avertissement-concernant-l-exposition-de-votre-adresse-IP-d-origine-via-des-enregistrements-DNS
https://support.cloudflare.com/hc/fr-fr/articles/200169626-Identifier-les-sous-domaines-compatible-avec-le-proxy-de-Cloudflare
https://developers.cloudflare.com/spectrum/ftp

Partager