NTPサーバの怪

ども。
先週日曜のあわびの里フェスティバルで後片付けを張り切りすぎて、体へのダメージが大きい担当ちゅんです。筋肉痛です。

行政の職場では、すごく専門的なシステム(ソフトウェア)が利用される場面があります。本日はそうしたシステムのうちの一つが「起動できなくなった」と問い合わせを受けました。

実は、思い当たる節がありました。当町のネットワークは先日から「強靭」なセキュリティ対策が行われるようになり、外部への不用意な通信は一切できなくなりました。外部との通信が必要なシステムがある場合は事前にフィルタ除外の手続きをしなければならない、と。昨今の情報セキュリティを取り巻く環境からすれば当たり前のことではありますが、やはり利便性が大きく低下している点は否めません。
で、そのシステムが起動しない理由が、おそらく起動時に外部のサーバに何らかのアクセスをする仕様で、それが失敗することでシステムの起動ができないものではないかと仮定したのです。

これがまさにビンゴでした。そのシステムは起動時にNTPサーバ(時刻合わせ用のタイムサーバ)にアクセスして、PC内部の時刻を正確なものに同期する動きをするようです。
早速業者さんと連絡をとり、実際にどのIPアドレスに通信をしているのかを調べてもらいます。これさえわかれば、「このPCからこのIPアドレスに対してのみ通信を許可する」という設定が可能となります。
・・・しかし、その回答は驚きでした。「システムを起動するたびに違うIPアドレスに通信しようとしています」。

そんなことってあるのかな?と思いながら、システムの開発元に問い合わせました。すると、システムで利用しているNTPは「pool.ntp.org」であると判明。何やら、URLがすでにあれですね。
調べてみると、このサービスは世界中にあるNTPサーバが登録されていて、上記URLにアクセスすると登録済みのNTPサーバの中から1つがランダムで選択されて接続されるという動きをするようです。とても便利なサービスですし画期的なものなんですが、我々のようなセキュリティ対策をしている人間にとっては困ってしまう動きです。

結局、ネットワーク的には対策の方法が無く、システム側で調整をしてNTPサーバを確認しない方法にすることで一件落着となりました。
それにしても、上記サービスはボランティアで運用されているようですが、セキュリティ的には大丈夫なのか、少し不安です。今回、これがブロックできたということは、それだけ強靭性の高いセキュリティ対策が行われているという証拠かもしれませんね。

NTP POOL PROJECT
間違いなく便利なサービスだと思いますが・・・

(投稿者:ちゅん)


カテゴリー: つぶやき パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です