CloudFlare使用中のIP漏れを防ぐには

シェアする

  • このエントリーをはてなブックマークに追加
CloudFlareはDDoS攻撃に対し効果を発揮しますが、CloudFlareを経由しない通信では発揮できません。
そのため、元のサーバーのIPアドレスが漏れてしまうと直接サーバーに攻撃ができてしまうため、せっかくのDDoS対策機能が意味をなしません。

ここでは、CloudFlare使用中のサイトにおいて、IPアドレスが漏れないようにするための方法を説明します。

IPアドレスが漏れると何がまずいのか

CloudFlareでは、元のサーバーのIPアドレスをリバースプロキシ内に隠蔽する形でセキュリティを担保しています。従って、IPアドレスが漏れるとサーバーに対し直接攻撃ができてしまいます。
特に、現在進行形でDDoS攻撃が進行している状況で切羽詰まって導入する際には注意が必要です。サーバーのIPアドレスが既知である限り、CloudFlareを回避して攻撃が継続できてしまいます。

IPアドレスの漏洩を防ぐには

IPアドレスはあらゆる原因で漏洩します。対策としては次のようなものがあります。
1つでも対策が欠けていると漏洩につながりますので注意が必要です。
CloudFlare公式サイト上にあるDDoS Prevention: Protecting The Originが役立つでしょう。

すべてのサブドメインで、CloudFlareを有効にする

CloudFlareが有効になっていないサブドメインがある場合、そこからIPアドレスが漏洩してしまいます。すべて有効にするか削除してください。
直接アクセスすることができるようにサブドメインを作る場合でも、directのようなサブドメイン名は使用を避けるべきです。推測できてしまいます。
推測できないようなサブドメイン名を使うか、そもそも直接アクセス可能なサブドメインを作らないようにするべきです。
Enterpriseプラン以外では、ワイルドカードサブドメイン1)アスタリスク(*)の設定で、すべてのサブドメインからのアクセスができるの使用も避けてください。Free,Pro,BusinessプランではワイルドカードサブドメインでのCloudFlareの使用をサポートしていません。

DNSレコードを見直す


DNSレコード上にオリジンサーバーのIPアドレスを仄めかす記述がないか確認してください。特にTXT及びSPFレコードには注意が必要です。
余計なDNSレコードが残っているとIPアドレスの漏洩に繋がることがあります。不必要なDNSレコードは削除しておきましょう。

ウェブサーバーで他のサービスを提供しない


メールサーバーやFTPサーバーを同一のサーバーで提供しないようにしましょう。
送信されるメールアドレスやバウンスメールから、オリジンサーバーのメールアドレスが漏れてしまいます。
どうしても送信する必要がある場合は、外部のSMTPサーバーを使用するべきです。

外部への接続を張らない

ユーザーの操作で外部への接続を張らないように注意する必要があります。
主にアプリケーション側の設計で、外部のファイルを任意のURLで指定できているようにするとそこからオリジンサーバーのIPアドレスが漏洩します。

脆弱性に注意

アプリケーションの脆弱性が原因でIPアドレスが漏洩することがあります。アプリケーションやソフトウェアは常に最新版に保ち、セキュリティの維持を行うようにしましょう。

CloudFlare以外からの接続を拒否する

可能であれば、CloudFlare以外からの接続を拒否するようにします。
CloudFlareが使用するIPアドレス帯はhttps://www.cloudflare.com/ips/で公開されています。これらのIPアドレスからの接続のみ受け入れるようにすることで、クローラーやハッカーにより直接アクセスされることを防ぐことができます。
.htaccessによるアクセス制限ではなく、iptablesやfirewalldにより根本的にブロックする必要があるため共有サーバーでは使用できません。これに関しては後日具体的なiptablesの設定例を公開します。

導入後に、サーバーのIPアドレスを変更する


CloudFlareを導入しても、導入前のIPアドレスが分かっている限り攻撃者は攻撃を継続できます。
そのため、IPアドレスを変更することで攻撃を回避する必要があります。
IPアドレスとドメイン名の関連性は外部のサイトに履歴として残っていることがあります。
共有サーバーでは難しいかもしれませんが、専用サーバーやVPSの場合はインスタンスの作り直しやサポートへの依頼でIPアドレスの付け替えを行えることがあります。

CloudFlareを導入して安心しきってはいけない

セキュリティにゴールはありません。CloudFlareを導入して安心しきっている人がいるかもしれませんが、このような対策が為されていないサイトが数多くあります。これが原因で、せっかくのDDoS対策機能を活かせていないサイトが一定数あります。
外部のクローラーは接続を試行し続けることがあるため、これが原因で延々とオリジンサーバーのIPアドレスが漏れ続けていることになります。せっかく盾を持っていても、後ろから矛で刺される状況です。
IPアドレスの漏洩による悲劇を防ぐためには、事前に対策を行っておきましょう。こういった対策を行うことで、初めてCloudFlareによる高度なDDoS対策機能やWAFを有効活用できるようになります。

註釈   [ + ]

1. アスタリスク(*)の設定で、すべてのサブドメインからのアクセスができる
広告





シェアする

  • このエントリーをはてなブックマークに追加

フォローする