Upgrade to Pro — share decks privately, control downloads, hide ads and more …

プロキシを作って学ぶ WireGuard / Learning WireGuard by Cr...

NTT Communications
April 20, 2025
Technology
0
11

プロキシを作って学ぶ WireGuard / Learning WireGuard by Creating a Proxy

2025年3月5日のLightning Talksで発表した「プロキシを 作って学ぶ WireGuard」の講演資料です。
講演詳細についてはこちらを御覧ください:https://ntt-developers.github.io/ntt-tech-conference/2025/

NTT Communications

April 20, 2025
Tweet

More Decks by NTT Communications

See All by NTT Communications
OT環境を可視化するミクロとマクロの技術〜ツラいSBOM・OT-IDS運用とその対策〜 / Micro and macro technologies for visualizing OT environments - Difficult SBOM and OT-IDS operations and countermeasures -
nttcom
0
41
開発者ブログを3年半運営した振り返り / Running a Developer Blog: Lessons from 3.5 Years and Tips for You
nttcom
0
800
トラフィックから見るOTセキュリティ / OT security monitoring from traffic
nttcom
0
46
SBOMに備えよ!基幹インフラ事業者が直面したツラいSBOM運用とその対策 / Get ready for SBOM! Difficult SBOM operations faced by core infrastructure operators and their countermeasures
nttcom
0
77
利用終了したドメイン名の最強終活〜観測環境を育てて、分析・供養している件〜 / The Ultimate End-of-Life Preparation for Discontinued Domain Names
nttcom
2
490
Amazon S3 Tablesと外部分析基盤連携について / Amazon S3 Tables and External Data Analytics Platform
nttcom
0
210
能動的ドメイン名ライフサイクル管理のすゝめ / Practice on Active Domain Name Lifecycle Management
nttcom
0
500
実際の業務で行った技術選定を通じて感じた 「君たちはどう技術選定をすべきか」 / "How You Should Approach Technology Selection" - Insights Gained from Actual Technology Selection in Practice
nttcom
0
130
SATソルバを用いた複数パス間の制約を満足する経路計算手法 / A Path Calculation Method Satisfying Constraints between Multiple Paths Using SAT Solver
nttcom
0
130

Other Decks in Technology

See All in Technology
AWSLambdaMCPServerを使ってツールとMCPサーバを分離する
tkikuchi
1
3k
AIと開発者の共創: エージェント時代におけるAIフレンドリーなDevOpsの実践
bicstone
1
310
PicoRabbit: a Tiny Presentation Device Powered by Ruby
harukasan
PRO
2
210
Рекомендации с нуля: как мы в Lamoda превратили главную страницу в ключевую точку входа для персонализированного шоппинга. Данил Комаров, Data Scientist, Lamoda Tech
lamodatech
0
710
アジャイル脅威モデリング#1(脅威モデリングナイト#8)
masakane55
3
200
[2025年4月版] Databricks Academy ラボ環境 利用開始手順 / Databricks Academy Labs Onboarding
databricksjapan
0
140
AIコーディングの最前線 〜活用のコツと課題〜
pharma_x_tech
3
1.2k
Classmethod AI Talks(CATs) #21 司会進行スライド(2025.04.17) / classmethod-ai-talks-aka-cats_moderator-slides_vol21_2025-04-17
shinyaa31
0
580
CloudWatch 大好きなSAが語る CloudWatch キホンのキ
o11yfes2023
0
170
システムとの会話から生まれる先手のDevOps
kakehashi
PRO
0
280
SREからゼロイチプロダクト開発へ ー越境する打席の立ち方と期待への応え方ー / Product Engineering Night #8
itkq
2
670
AWS全冠芸人が見た世界 ~資格取得より大切なこと~
masakiokuda
5
5.9k

Featured

See All Featured
Agile that works and the tools we love
rasmusluckow
328
21k
A Tale of Four Properties
chriscoyier
158
23k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
19
1.1k
Raft: Consensus for Rubyists
vanstee
137
6.9k
Why You Should Never Use an ORM
jnunemaker
PRO
55
9.3k
Designing for Performance
lara
608
69k
Rebuilding a faster, lazier Slack
samanthasiow
80
8.9k
Stop Working from a Prison Cell
hatefulcrawdad
268
20k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
30
2k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
23
2.6k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
45
7.2k

Transcript

  1. © NTT Communications Corporation All Rights Reserved. プロキシを 作って学ぶ WireGuard

    2025年03月05日 NTTコミュニケーションズ株式会社 上田 高寛

  2. © NTT Communications Corporation All Rights Reserved. 2 目次 1.

    自己紹介 2. この発表で話すこと、話さないこと 3. WireGuardとは? 4. やりたかったこと 5. 作ったもの 6. 通常のWireGuardの動作 7. プロキシの動作 8. なぜ使わなかったのか? 9. おわりに

  3. © NTT Communications Corporation All Rights Reserved. 3 自己紹介 普段の業務分野

    ・OT(制御)ネットワークセキュリティ 趣味 • 時々自宅NWをいじって遊ぶ(小規模) • 稀に電子工作や3Dプリンタで何かを作る (積み部品だけが増えていく状態...)

  4. © NTT Communications Corporation All Rights Reserved. 4 この発表で話すこと、話さないこと 要約

    • NginxなどにあるVirtualHosts機能ぽいものを作ってみた • プロキシと書いたけど、動作としてはL2スイッチやARPのほうがイメージしやすいかも • 実用には向かないが、WireGuardの通信を理解するきっかけにはなりそうなので共有してみる 話すこと • 作ったプロキシに関して • WireGuardの通信の流れとメッセージ構造(の一部) 話さないこと • WireGuardの使い方 • Cookie Replyメッセージに関しては省略 ※今回紹介するプロキシは実用を想定していません(業務での利用も予定していません)

  5. © NTT Communications Corporation All Rights Reserved. 5 WireGuardとは? WireGuardはシンプルで高速なオープンソースのVPN

    特徴を一部抜粋[1] • UDPを利用 • NAT超えが可能 • IPアドレスの変化や再接続に強い • 公開鍵を利用した認証(SSHの公開鍵認証と似ている) • Cryptokey Routing • 認証に失敗したメッセージ(パケット)は無視する • メッセージの種類は4種類とシンプル • クリプトアジリティを意図的に欠いている • 4,000行未満のコードで実装できるため、監査や検証が容易 [1] Jason A. Donenfeld, “WireGuard: Next Generation Kernel Network Tunnel”, 2020. https://www.wireguard.com/papers/wireguard.pdf.

  6. © NTT Communications Corporation All Rights Reserved. 6 やりたかったこと 諸事情により、複数のWireGuardクライアントから複数サーバへの接続を単一のIPアドレスとポートで受け

    付けられると嬉しい場面があった rox セ メント lient lient 2 lient n er er er er 2 er er n 接続 N rox 接続 N ココ ※ InitiatorをClient、ResponderをServerと読み替え

  7. © NTT Communications Corporation All Rights Reserved. 7 作ったもの ブロードキャストを利用したシンプルで

    不完全なプロキシ どのくらいシンプルなの? → 右のQRコードに収まるくらい 下記コマンドを実行するとソースコードが見えるはず $ echo "[QRコードのbase64文字列]" | base64 -d | gunzip > main.go ※今回紹介するプロキシは実用を想定していません (業務環境での利用もしていません) デコードには CyberChefが便利かも

  8. © NTT Communications Corporation All Rights Reserved. 8 通常のWireGuardの動作 下記の流れで鍵交換(セッション作成)を行う

    1. Handshake Initiaion 2. Handshake Response 3. Transport Data(Initiatorから送信) 4. Transport Data セッションの作成は、2分が経過もしくは、 一定数のメッセージを送信したタイミン で再度行う • REKEY-AFTER-MESSAGES: 260messages • REJECT-AFTER-MESSAGES: 264 − 213 − 1messages • REKEY-AFTER-TIME: 120 seconds • REJECT-AFTER-TIME: 180 seconds lient er er 1RTTで鍵交換が終わる ※負荷がかかっている状態では動作が変わるが、今回は省略(Cookie Replyメッセージ)

  9. © NTT Communications Corporation All Rights Reserved. 9 通常のWireGuardの動作 下記の流れで鍵交換(セッション作成)を行う

    1. Handshake Initiaion 2. Handshake Response 3. Transport Data(Initiatorから送信) 4. Transport Data セッションの作成は、2分が経過もしくは、 一定数のメッセージを送信したタイミン で再度行う • REKEY-AFTER-MESSAGES: 260messages • REJECT-AFTER-MESSAGES: 264 − 213 − 1messages • REKEY-AFTER-TIME: 120 seconds • REJECT-AFTER-TIME: 180 seconds ココを追加 ※負荷がかかっている状態では動作が変わるが、今回は省略(Cookie Replyメッセージ) lient er er rox 1RTTで鍵交換が終わる

  10. © NTT Communications Corporation All Rights Reserved. 10 プロキシの動作 1.

    Handshake Initiation ClientはServerへ、セッションを確立するための Handshake initiationメッセージを送る プロキシはtypeフィールドを確認し下記処理を行う 1. Sendrフィールドをキーに送信元情報をテーブル に格納 2. 宛 アドレスProxyセ メントのブロードキャス トアドレスに変更し送信 3. Proxyセ メント内の全Serverにメッセージが届 く ※ InitiatorをClient、ResponderをServerと読み替え [1] Jason A. Donenfeld, “WireGuard: Next Generation Kernel Network Tunnel”, 2020. https://www.wireguard.com/papers/wireguard.pdf, p. 10. Handshake initiationメッセージの構造([1]より)

  11. © NTT Communications Corporation All Rights Reserved. 11 プロキシの動作 2.

    Responder to Initiator 正規のクライアントからパケットを受け取ったサーバ のみが、レスポンスを返す(WireGuardの仕様) プロキシはtypeフィールドを確認し下記処理を行う 1. sendrフィールドをキーに送信元情報をテーブル に格納 2. receiverフィールドをキーに宛 情報を検索 3. パケットの宛 情報を書き換えてユニキャスト 4. クライアントにパケットが届きセッション確立 Initiator e on er rox Handshake responseメッセージの構造([1]より) ※ InitiatorをClient、ResponderをServerと読み替え [1] Jason A. Donenfeld, “WireGuard: Next Generation Kernel Network Tunnel”, 2020. https://www.wireguard.com/papers/wireguard.pdf, p. 11.

  12. © NTT Communications Corporation All Rights Reserved. 12 ※ InitiatorをClient、ResponderをServerと読み替え

    [1] Jason A. Donenfeld, “WireGuard: Next Generation Kernel Network Tunnel”, 2020. https://www.wireguard.com/papers/wireguard.pdf, p. 12. プロキシの動作 3. Transport Data recieverフィールドの情報をもとにデータを転送する プロキシはtypeフィールドを確認し下記処理を行う 1. receiverフィールドをキーに宛 情報を検索 2. パケットの宛 情報を書き換えてユニキャスト 3. 宛 のClient or Serverに届く Initiator e on er rox Transport dataメッセージの構造([1]より)

  13. © NTT Communications Corporation All Rights Reserved. 13 なぜ使わなかったのか? 一番の理由

    • 無くてもそこまで困らなかった 単一障害点になる • 思い付きで作ったは良いが、クオリティも低く信頼性にも欠けていた 仕組上の課題 • Client側のIPアドレスの変化に弱くなる (テーブル情報をセキュアにどう更新するか?) • Clientが増えるにしたがって、 ブロードキャストパケットが増え システム全体の負荷が上がる • など... 既存のプロキシの存在(未検証) • mwgp(Multiple WireGuard Proxy) • 設定ファイルが必要ぽい

  14. © NTT Communications Corporation All Rights Reserved. 14 おわりに WireGuardはシンプルで高速なVPN

    • UDPを利用 • NAT超えが可能 • IPアドレスの変化や再接続に強い • 公開鍵を利用した認証(SSHの公開鍵認証と似ている) • Cryptokey Routing • 認証に失敗したメッセージ(パケット)は無視する • メッセージの種類は4種類とシンプル 作ったプロキシに関して • 実用には向かないが、WireGuardの通信を理解するきっかけにはなりそうなので共有してみた