Embed Size (px)
Citation preview
NET&COM2006 2006年2月1日~3日@東京ビックサイト
時刻同期が必要不可欠な5つのアプリケーション
丸文株式会社 システム営業本部情報機器部 情報通信課2005年6月
2
目次
時刻同期の重要性
VoIP
ディレクトリサービスインターネット経由での時刻取得のデメリット
クラスタリング
ネットワーク管理
情報漏洩対策
3
IT世界
端末のクロック
オペレーション
時刻がすれていたら
行動の基準はどの世界でもクロック
現実世界時計
行動
時刻がずれていたら
遅刻 データ損失
4
PCクロックの精度
何もしないと精度が悪い。
→時刻補正が必ず必要!
5
解決策:ネットワークタイムサーバ
世界標準時を正確に取得できるGPSネットワークタイムサーバを導入
Network Time Protocol(NTP)により
全てのネットワーク端末の時刻補正を行う!
GPSタイムサーバ
メールサーバ
ルータ
クライアント
認証サーバ
ウェブサーバ
NTP14:04:3203/20/00
NTPNTP
14:04:3203/20/00
NTP14:04:3203/20/00
14:04:3203/20/00
NTP14:04:3203/20/00
GPS
6
VoIP:概要
公衆電話回線ではなく、IPネットワークを通じて音声通話
通信費用及び通信インフラ維持費用のコスト低減
NTP
アナログ電話VoIPゲートウェイ
SIPサーバ
ゲートキーパ
IP電話
VoIPゲートウェイ
IP電話
IPネットワーク
PBX
PSTN
PBX アナログ電話
IP-PBX
7
VoIP:時刻がずれると①
音声品質の補正機能の低下(揺らぎ吸収)
理想的な片道遅延:0~150ミリ秒(ITU-T Recommendation G.114)
RTP
IP電話 IP電話
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
IPネットワーク通話
発信 着信
受信側にてタイムスタンプを見てタイミングを調整
遅延・揺らぎ
揺らぎ吸収
8
VoIP:時刻がずれると②
正しい音声品質測定ができない(R値)(正確なR値の判定には、時刻同期された状態での遅延やパケット損失の計測が必要)
VoIPシステム信頼性の失墜
< IP電話の通話品質測定ガイドライン第2版>
東京-大阪間など,距離が離れている場合に片側遅延を測定するには,GPSなどを用いて時刻同期を行った2台の測定器を用いる(VoIP推進協議会)
NTPIP電話 IP電話
IPネットワーク
音声品質測定
RTP
RTCP
R値の測定
SIPサーバ
ゲートキーパ
IP-PBX
発信 着信
9
音声品質の補正機能の適正化
正確な音声品質測定(QoS)
遠距離の通話も発生するため、標準時に基づいた時刻同期が必要→GPSネットワークタイムサーバ
CDR(Call Detail Record)・課金・VoIPネットワークの障害検知
においても正確な時刻が大活躍
VoIP:時刻同期の必要性
NTPIP電話 IP電話
IPネットワーク
音声品質測定 音声品質測定
GPSタイムサーバGPSタイムサーバ
NTP
14:04:3203/20/00
NTP
14:04:3203/20/00
14:04:3203/20/00
NTP NTP14:04:3203/20/00
NTP
14:04:3203/20/00
NTP14:04:3203/20/00
SIPサーバ
ゲートキーパ
IP-PBX
14:04:3203/20/00
NTP
信頼のおけるVoIPシステム
10
ユーザー、グループ、共有リソースや、セキュリティ構成を集中管理
ドメインコントローラーにて認証やデータベースの保持
Microsoft Active Directory
ドメイン
ディレクトリサービス:概要
ワークステーション サーバ ワークステーション
ユーザグループ共有リソース
ログイン認証 ログイン認証 ログイン認証
ディレクトリ情報ドメインの資源を利用
11
ディレクトリサービス:時刻がずれると①
ドメイン認証の失敗Kerberos認証におけるクロック許容誤差:5分
ユーザーが資源を利用できない!
5分以上のずれ
ワークステーション
ログイン認証失敗
12
ディレクトリ情報の更新に失敗複数のネットワーク管理者が別々のドメインコントローラに対して同じディレクトリ情報を更新すると,情報の衝突が発生するおそれがある。
衝突を避けるために、タイムスタンプが使用される。同じプロパティが更新された場合には,タイムスタンプ値を比較し,最新の情報が採用される。
同じディレクトリ情報に対する変更14:04:3203/20/00
タイムスタンプ値を比較最新の情報を採用
14:04:3203/20/00
ディレクトリサービス:時刻がずれると②
13
ディレクトリサービス:時刻同期の必要性
GPSネットワークタイムサーバ
からドメインコントローラーに標準時を供給
信頼のおけるログオン認証
ディレクトリ情報の整合性
ワークステーション サーバ ワークステーション
ユーザグループ共有リソース
ログイン認証 ログイン認証 ログイン認証
ディレクトリ情報
GPSタイムサーバ
NTP
14:04:3203/20/00
時刻同期時刻同期
時刻同期
ドメイン
14
Microsoft社の推奨
この階層構造では、フォレストのルートにある PDC 操作マスタが、組織に対して権限を持つタイムサーバーになります。
権限のあるタイム サーバーがハードウェア ソースから時刻を取得するように構成することを強くお勧めします。
権限のあるタイム サーバーがインターネットのタイム ソースと同期するように構成した場合、認証は行われません。
時刻が大きく変更されないようにWindowsタイム サービスを構成する(文書番号:884776)
http://support.microsoft.com/default.aspx?scid=kb;ja;884776
GPSタイムサーバ
15
インターネット経由の時刻取得のデメリット
①セキュリティ、②精度、③信頼性の点でお勧めできません。
①セキュリティNTPのためにポートを開く必要あり
→セキュリティホールとなる危険性大
メールサーバ
ウェブサーバ
公開NTPサーバ
社内NTPサーバ
NTP14:04:3203/20/00
NTP
14:04:3203/20/00
Stratum 1
Stratum 2
社内ネットワークLAN
14:04:3203/20/00
NTP
不正侵入者
NTP:ポート123番
16
インターネット経由の時刻取得でのデメリット
①セキュリティ、②精度、③信頼性の点でお勧めできません。②精度
WANネットワークを経由するとNTPでの同期精度に影響大Stratum 1 → Stratum 2NTP同期精度(目安)
LAN(10M/100M/1000Mbps) 1-10ミリ秒WAN(DSL/T1/Cable) 50-250ミリ秒以上
メールサーバ
ウェブサーバ
公開NTPサーバ
社内NTPサーバ
NTP14:04:3203/20/00
NTP
14:04:3203/20/00
Stratum 1
Stratum 2
社内ネットワークLAN
14:04:3203/20/00
NTPNTP:ポート123番
同期精度:低
同期精度:高
17
インターネット経由の時刻取得のデメリット
①セキュリティ、②精度、③信頼性の点でお勧めできません。③信頼性
管轄外のため動作しているか確認できない公開NTPサーバの草分け福岡大学clock.nc.fukuoka-u.ac.jpがアクセス集中で悲鳴! (IT Mediaニュース2005年1月29日速報)
メールサーバ
ウェブサーバ
公開NTPサーバ
社内NTPサーバ
NTP14:04:3203/20/00
NTP
14:04:3203/20/00
Stratum 1
Stratum 2
社内ネットワークLAN
14:04:3203/20/00
NTPNTP:ポート123番
きちんと動いてるか?
?
18
アプライアンスタイムサーバのご案内
公開NTPサーバーと同等のGPSネットワークタイムサーバを社内ネットワークに導入してください!
–セキュリティ↑–精度↑–信頼性↑
メールサーバ
ウェブサーバ
公開NTPサーバ
NTP14:04:3203/20/00
NTP
14:04:3203/20/00
Stratum 1
社内ネットワークLAN
14:04:3203/20/00
NTP
同期精度:低
同期精度:高
GPSタイムサーバ
Stratum 1
19
現用で障害が発生した場合、待機系サーバで業務アプリケーションを自動起動させ、業務を引き継ぎ(フェイルオーバー)フェイルオーバー後も、ユーザーからは同じサーバに接続しているような感覚
データベースなどに利用される
クラスタリング:概要
業務通常運用 業務
業務業務
フェイルオーバー
フェイルバック
サーバダウン
障害発生
復旧作業復旧完了
20
クラスタリング:時刻がずれると
フェイルオーバー、フェイルバック時、業務アプリケーション上の引継ぎデータの時刻に矛盾があると正しくデータが引き継がれない。
→データが消失することも
クラスタシステムでは、サーバ間で引き継ぐデータは共有ディスク上のパーティションに格納される。すなわち、データを引き継ぐとは、アプリケーションが使用するファイルが格納されているファイルシステムを健全なサーバ上でマウントしなおすということ。
業務
14:04:3203/20/00
サーバダウン
タイムスタンプに矛盾
14:04:3203/20/00
引継ぎ
データの損失も
21
クラスタリング:時刻同期の必要性
安定したフェイルオーバー・フェイルバック
データを参照するユーザーと標準時を共有→GPSネットワークタイムサーバ
クラスタリング適用例
データベース
ファイルサーバ
アプリケーションサーバ
メールサーバ
GPSタイムサーバ
データベース利用者
データベース(クラスタリング)
14:04:3203/20/00
NTP
14:04:3203/20/00
NTP14:04:3203/20/00
NTP
22
ネットワーク管理:概要
イベントログを利用したネットワークの障害管理
SNMP / RMON
イベント情報コネクションの消失
バッファオーバーフロー
パケットの消失
ルーター
インターネットスイッチ
サーバー
スイッチ
ファイアーウォール
イベント通知
ログ
23
ネットワーク管理:時刻がずれると
イベントの順番が不正確
ネットワーク障害の原因調査・復旧に時間がかかる
イベントログ内容イベントIDイベント発生時刻
イベント名
イベント発生機器
ルーター
インターネットスイッチ
サーバー
スイッチ
ファイアーウォール
イベント通知
ログどっちが先?
24
ネットワーク管理:時刻同期の必要性
全端末の時刻同期を前提とした効率の良いネットワーク管理
GPSネットワークタイムサーバもネットワーク管理の対象に
ログ適用例課金ログ
認証ログ
アクセスログ
ルーター
インターネットスイッチ
サーバー
スイッチ
ファイアーウォール
イベント通知
ログ
GPSタイムサーバ
14:04:3203/20/00
NTP
14:04:3203/20/00
NTP
14:04:3203/20/00
NTP
14:04:3203/20/00
NTP
14:04:3203/20/00
NTP
14:04:3203/20/00
NTP
25
情報漏洩対策:概要
機密情報への不正なアクセス、データ持ち出し
アクセスログから追跡捜査
行動管理による抑止力
操作ログ
操作データ書込
誰がいつどのマシン名どのデータ
検索追跡レポート
アプリ実行
顧客情報社内機密情報
履歴
プリント
犯人特定・行動管理
犯人特定流出原因・経路を特定
26
情報漏洩対策:時刻がずれると
不正アクセスの立証が困難
犯人や原因が特定できず、被害が拡大
<ISMS>(情報セキュリティマネジメントシステム)
9.(7) システムアクセス及びシステム
状況の監視
管理目的:認可されていない活動を検出するため
9.(7)③コンピュータ内の時計の同期
正確な記録のために、コンピュータ内の時計を同期させておくこと
ISMS認証基準(Ver.2.0)JIP-ISMS100-2.0日本情報処理開発協会
操作ログ
操作データ書込
誰がいつ??????どのマシン名どのデータ
アプリ実行
顧客情報社内機密情報
履歴
プリント
27
情報漏洩対策:時刻同期の必要性
正確で同期のとれた時刻に基づき的確な管理・追跡
実世界との整合性をとるために、標準時にて時刻同期→GPSネットワークタイムサーバ
操作ログ
操作データ書込
誰がいつどのマシン名どのデータ
検索追跡レポート
アプリ実行
顧客情報社内機密情報
履歴
プリント
犯人特定・行動管理
14:04:3203/20/00
NTP
14:04:3203/20/00
NTP
14:04:3203/20/00
NTP
14:04:3203/20/00
NTP
14:04:3203/20/00
NTP
GPSタイムサーバ
28
お問合せは
丸文株式会社
情報機器部 情報通信課 担当:光田
TEL 03-3639-9881
FAX 03-5644-7627
E-mail : [email protected]
URL :http://www.marubun.co.jp/comnet/symmetricom_1.jsp
