第2回 名前のないセキュアシェル
草場 英仁
三井物産セキュアディレクション株式会社
ビジネスデベロップメント部 主席研究員
2008/4/10
あれ、DNSの応答がない!?
んー、やっぱり問題はないかな……。いや待て、何か怪しいぞ。本当にsshだけの問題かな。
フィルタルールを解除して上からじっくり追ってみます。あれっ、DNSの応答がない!? これはいったい……。
 |
画像をクリックすると拡大します |
Wiresharkのおかげで、サーバがDNSやmDNSの問い合わせをしていることが分かりました。「query PTR」なので逆引きです。そして、そのDNS問い合わせには「応答なし」か「タイムアウト」しています。原因が分かりました。
太田がいっていたログインの待ち時間は、これが原因で間違いありません。つまり、ログインが遅いのはクライアント(接続元)のIPアドレスをDNSに尋ねていて応答がなかったからだったのです。
これを解決するには2つの方法が考えられます。
- サーバ側のsshの設定でDNSやmDNSを使わないようにする
- DNSサーバに逆引きをきちんと設定する(逆引きでIPからホスト名を割り出す)
それから「mDNSを使ってないのであれば、mDNSを使わないようにする」こと。
sshの設定を再確認すると、DNSはデフォルトで使うことになっていました。設定ファイルのデフォルトでは記載がないなんて、なんて不親切な……。どうやら、明示的に「NO」と書かないとダメなようです。
ちゃんと調べると、この設定はIPアドレスからリモートホスト名を逆引き検索して、それをさらに正引きして同じIPアドレスになるかを確認するとのことでした。
今回はsshの設定ファイルを修正することにします。sshd_configに「UseDNS no」と明示的に書いてsshを再起動。これで無事解決したようです。mDNSを使わないようにするのであれば、/etc/nsswitch.confに書いてある「hosts mDNS」を削除します。
太田には後でメールでもしておけば良いとして、根本的な解決を図るにはどうすればいいだろう。ここはやはり上司の力を借りた方がいいようです。
ミーティングは重要です
「そんなわけでDNSとsshの設定、使ってないmDNSが原因だというところまでは分かったのですが」
さっそく守屋さんをつかまえて相談タイムです。sshが今回の事件の引き金になっていたのかは分かりましたが、なぜこれまで表面化してこなかったのかが腑に落ちません。
「そういえば営業部の春日課長が新しいIPアドレスを聞きにきてたねえ、確かあそこはこれまでDHCPとDynamic DNSを使ってたはずだよ」
えっ、そうだったのか! それじゃ最初からDNSが最有力容疑者、本命じゃないか。太田のヤツ、最初からそれを教えてくれれば少しは楽だったのに。いまさらいっても始まらないことですけどね。DHCPとDynamic DNSは連携していて動的にIPを払い出した後DNS登録とその逆引きを行うように設定されていたのです。
| 【関連記事】 DHCPとDynamic DNSの連携システム |
「それと今週始めのミーティング」
守屋さんは続けます。情報セキュリティ事務局が、全面的なDHCPから固定IPへの移行を検討すると、この前の会議で話していなかったか、と。
えっと、そ、そうでしたっけ。そうでした……ね。思い出しました。そんな話が確かにありました。それにしてもスケジュールも知らせないでテストを開始していたんですね。いや、聞かなかったこっちも悪いんですけど。自分のうかつさをちょっとのろいながら、部長代理にお礼を述べます。
情報セキュリティ事務局の中途半端な固定IP移行と周知不足がこの事件の大本の原因でした。これは文句の一言もいってやって、自分の存在感をアピールしなくちゃ。早速組織図を開いて、事務局の担当者に電話してみます。
どうやらくだんの部署は、数日前にテスト的に固定IPを導入したということのようでした。ここで今回の顛末(てんまつ)をひとくさり。もちろん営業部とサーバ室をウロウロしていたあたりは省きます。省略して行間を読むなというものです。
「で、斉藤さん。これからほかの部署でもテストをしなくちゃならないんだけど」
各部署の情報セキュリティ担当者を集めるから、ネットワークの講習会の講師を務めてくれないかという依頼でした。そりゃ、毎回こんな苦情が寄せられてしまっては困ります。
「ええ、まあ、僕でよければ――」
電話しながら情報セキュリティ担当者名簿を開いてみると、どこかで見掛けた名前が飛び込んできます。企画部の情報セキュリティ担当者は葵さんだ!
「いや、ぜひ僕が! ネットワークのことなら任せてくださいよ!」
がぜんやる気がわいてきました。これで、これまでなかなか足を運ぶ機会のなかった企画部にも堂々と訪ねていけるというものです。あれ、やっぱり自分って単純かな?
今回の復習 Capture FilterとDisplay Filterをきちんと使い分ける 対象が分からない解析の場合、キャプチャ漏れ防止のためCapture Filterを使わない 特定のプロトコルが対象ならばCapture Filterで絞り込みを行う 等間隔の遅延はまずDNSを疑おう サーバ側、クライアント側、いろんな方面から調査する “移行”というキーワードの裏にはトラブルが潜んでいる リピータハブはネットワーク解析のお供。忘れずに用意しておこう |
 |
3/3 |
| Index | |
| 名前のないセキュアシェル | |
| Page1 sshでのログインが何だか少し引っ掛かる サーバルームに異常なし |
|
| Page2 やっぱりサーバルームに異常あり? 斉藤君の独り言Tips:フィルタリング |
|
 |
Page3 あれ、DNSの応答がない!? ミーティングは重要です |
| Profile |
| 草場 英仁(くさば ひでかず) 三井物産セキュアディレクション株式会社 ビジネスデベロップメント部 主席研究員 大手システム会社からベンチャー企業、ペネトレーション会社を経て現職へ。ルータ開発やファイアウォール開発、apacheや*BSDなどのOSS開発を経験し、低レイヤから高レイヤまで深いレベルでのハッキング技術を有する。 Exploit作成や手動でのペネトレーションテストなど、ツールではない本物の技術にこだわり、官公庁や企業へのハッキング教育、ペネトレーションテストに従事。その他、大学で非常勤講師、研究員などを勤めるかたわら、セキュリティ関連を中心に執筆多数。アカデミックな一面を持つ希少なエンジニア。最近はフォレンジックや携帯関連(端末・ガジェット・アプリなど)のハックにいそしむ。なお、同姓同名(読みは違う)の、どこにでもいる普通の変態な方とよく間違われるが http://twitter.com/E_I_J_I_R_O は私ではありません。 |
 |
Wiresharkでトラブルハック 連載インデックス |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
 |
|
|
|
|
注目のテーマ
Master of IP Network 記事ランキング
転職/派遣情報を探す
