DNS 레코드를 통한 원본 IP 주소 노출 경고
DNS 레코드를 통한 원본 IP 주소 노출 경고
회색 구름으로 된 DNS 레코드가 있으면, DNS 레코드가 원본 서버의 IP 주소를 노출할 수 있다는 Cloudflare의 경고일 수 있습니다. 가장 일반적인 것은 A, AAAA, CNAME, MX DNS 레코드입니다.
개요
DNS 레코드가 오렌지색 구름으로 되어 있으면, Cloudflare가 속도를 높이고 사이트를 보호한다는 뜻입니다.
오렌지색 구름의 루트 도메인에 대한 dig 쿼리는 Cloudflare IP 주소를 반환합니다. 이렇게 함으로써, 원본 서버의 IP 주소가 공개되지 않게 감춰집니다. 오렌지색 구름의 이점은 HTTP 트래픽에만 적용됩니다.
Cloudflare 대시 보드 DNS 앱의 DNS 레코드 패널은 특정 상황에서 원본 서버의 IP 주소를 노출할 수 있는, 회색 구름의 DNS 레코드가 있을 때마다 경고를 표시합니다. 이러한 경고는 사이트로 향하는 트래픽을 차단하거나 어떠한 식으로도 해당 트래픽에 영향을 주지 않습니다.
서버의 IP 주소가 노출되면 서버는 직접 공격에 더 취약해집니다. 트래픽을 Cloudflare로 프록시 설정해도, 공격자는 어렵긴 하지만 여전히 원본 서버 IP 주소를 결정할 수 있습니다.
다음은 Cloudflare의 IP 노출 경고가 발생할 수 있는 사례입니다.
다음과 같은 경고가 나타난 경우:
레코드가 원본 서버의 IP 주소를 노출하고 있습니다. 원본 IP 주소를 숨기고 서버 보안을 강화하려면 회색 구름을 클릭하여 오렌지색을로 변경하세요.
레코드를 오렌지색 구름으로 변경해, 해당 레코드에 대한 분석 쿼리가 Cloudflare IP 주소를 반환하고, 원본 서버 IP 주소가 공개되지 않게 숨기도록 하는 것이 좋습니다.
Cloudflare의 성능 및 보안 상 이점을 활용하려면 A, AAAA, CNAME를 비롯한 HTTP 트래픽을 처리하는 DNS 레코드를 오렌지색 구름으로 변경하도록 권장합니다.
사례 2 - 회색 구름으로 변경해야 할 DNS 레코드:
사이트를 호스팅하는 동일한 원본 서버를 가리키는 A, AAAA, CNAME, 또는 MX 레코드를 회색 구름으로 변경하면, 다음 경고 중 하나가 표시됩니다.
A, AAA, CNAME, 또는 MX 레코드가 원본 서버를 가리켜 원본 IP가 노출되었습니다.
이 레코드는 원본 서버의 IP 주소를 노출하여 원본 서버를 서비스 거부 공격에 노출시킬 수 있습니다.
이러한 레코드에 대한 dig 쿼리는 원본 서버의 IP 주소를 노출합니다. 잠재적인 공격자는 이 정보로 원본 서버를 손쉽게 직접 공격할 수 있습니다.
하지만 일부 DNS 레코드를 회색 구름으로 해야 하는 때가 있습니다. 예를 들면 다음과 같습니다.
- 여러 서버(예: 웹사이트 및 이메일)를 동일한 물리적 서버에 호스팅해야 하는 경우
이 위험을 완화하기 위해 다음을 권장합니다.
- 회색 구름의 DNS 레코드를 피할 수 없는 경우, 여러 서비스를 동일한 원본 서버에 호스팅할 때의 영향을 분석하세요.
- 루트 도메인과 동일한 IP 주소를 공유하면서 Cloudflare를 통해 안전하게 프록시 설정할 수 있는 모든 레코드를 오렌지색 구름으로 변경하세요.