にわかSEは大忙し!

NTPサーバの怪

カテゴリ : 
つぶやき
執筆 : 
八雲町 2017-5-23 18:30

ども。
先週日曜のあわびの里フェスティバルで後片付けを張り切りすぎて、体へのダメージが大きい担当ちゅんです。筋肉痛です。

行政の職場では、すごく専門的なシステム(ソフトウェア)が利用される場面があります。本日はそうしたシステムのうちの一つが「起動できなくなった」と問い合わせを受けました。

実は、思い当たる節がありました。当町のネットワークは先日から「強靭」なセキュリティ対策が行われるようになり、外部への不用意な通信は一切できなくなりました。外部との通信が必要なシステムがある場合は事前にフィルタ除外の手続きをしなければならない、と。昨今の情報セキュリティを取り巻く環境からすれば当たり前のことではありますが、やはり利便性が大きく低下している点は否めません。
で、そのシステムが起動しない理由が、おそらく起動時に外部のサーバに何らかのアクセスをする仕様で、それが失敗することでシステムの起動ができないものではないかと仮定したのです。

これがまさにビンゴでした。そのシステムは起動時にNTPサーバ(時刻合わせ用のタイムサーバ)にアクセスして、PC内部の時刻を正確なものに同期する動きをするようです。
早速業者さんと連絡をとり、実際にどのIPアドレスに通信をしているのかを調べてもらいます。これさえわかれば、「このPCからこのIPアドレスに対してのみ通信を許可する」という設定が可能となります。
・・・しかし、その回答は驚きでした。「システムを起動するたびに違うIPアドレスに通信しようとしています」。

そんなことってあるのかな〜と思いながら、システムの開発元に問い合わせました。すると、システムで利用しているNTPは「pool.ntp.org」であると判明。何やら、URLがすでにあれですね。
調べてみると、このサービスは世界中にあるNTPサーバが登録されていて、上記URLにアクセスすると登録済みのNTPサーバの中から1つがランダムで選択されて接続されるという動きをするようです。とても便利なサービスですし画期的なものなんですが、我々のようなセキュリティ対策をしている人間にとっては困ってしまう動きです。

結局、ネットワーク的には対策の方法が無く、システム側で調整をしてNTPサーバを確認しない方法にすることで一件落着となりました。
それにしても、上記サービスはボランティアで運用されているようですが、セキュリティ的には大丈夫なのか、少し不安です。今回、これがブロックできたということは、それだけ強靭性の高いセキュリティ対策が行われているという証拠かもしれませんね。

NTP POOL PROJECT
間違いなく便利なサービスだと思いますが・・・

(投稿者:ちゅん)

トラックバック

トラックバックpingアドレス http://www.town.yakumo.lg.jp/modules/information_blog/tb.php/1810

コメントの投稿

コメント投稿に関するルール : コメントは全て承認が必要

コメント


投稿者 スレッド
ゲスト
投稿日時: 2017-5-24 11:00  更新日時: 2017-5-24 11:54
 Re: NTPサーバの怪
同業者です。いつも勉強になっています。当市でもセキュリティ強化のためNTPに基本アクセスできなくなり、担当者は頭をかかえています。昨年、ウイルスを解析していると、海外の(たぶん)偽のNTPにアクセスしているものがありました。おそらくシステム時刻を狂わせてログをかく乱させようとしているのかもしれません。NTP POOLも使い方に注意する必要がありそうですね。
返信

投稿者 スレッド
八雲町
投稿日時: 2017-5-24 11:56  更新日時: 2017-5-24 11:56
 Re: NTPサーバの怪
> 同業者さま

いつもご覧いただきありがとうございます。
やはり「悪意のあるNTP」は存在しましたか・・・。
もしかしてそんなのもあるかもしれないと思っていました。
大多数の人は善意でやっていても、たった1人の心無い人のせいでサービス全体がNGとなってしまうことは、本当に悲しいことですよね。
返信


ブログ カレンダー
« « 2017 10月 » »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 1 2 3 4
最新のエントリ
カテゴリ一覧
アーカイブ
最新のコメント

open

町へのご意見 open

便利なサービス open