$30 off During Our Annual Pro Sale. View Details »

WireGuardとOpenID Connectの連携をGoで実装してみた

Kurochan
August 19, 2021
Technology
3
1.6k

WireGuardとOpenID Connectの連携をGoで実装してみた

社内勉強会で発表した資料です
https://github.com/kurochan/oidc-wireguard-vpn/

Kurochan

August 19, 2021
Tweet

More Decks by Kurochan

See All by Kurochan
セキュキャンを卒業してその後
kurochan
0
700
サイバーエージェントの実践×実験Snowflake 導入の経緯から最新機能のトライアルまで / How Snowflake Is Used In CyberAgent - Go To the Future
kurochan
0
340
入門Open Policy Agent: Policy as Codeを目指して / introduction-to-open-policy-agent
kurochan
0
280
140兆円の巨大市場、小売業界の再発明に挑む開発プロジェクト #ca_base_next / retail-dx-project
kurochan
1
1.4k
SnowflakeにMySQLとJOINする機能を
実装する
kurochan
0
270
CyberAgentでのSlack 活用事例紹介
kurochan
0
6k
入門Envoy
kurochan
5
7.9k
広告配信プロダクトのSnowflakeへの移行
kurochan
2
6.3k
SnowflakeとRedshiftの比較検証
kurochan
1
10k

Other Decks in Technology

See All in Technology
Small Tips to use Bun with WebSocket Server and WebAssembly Modules
mganeko
0
2.4k
テクニカルサポートに影響があったアップデート
uechishingo
0
390
Initiative to “Improve Web Performance” Across Yahoo! JAPAN
techverse_2022
PRO
0
130
ソフトウェアアーキテクチャ・ ハードパーツ: Software Architecture The Hard Parts
snoozer05
PRO
0
150
ドメインモデルのつくり方
irof
1
220
SwiftUI in LINE LIVE iOS - Technology Selection and Implementation
techverse_2022
PRO
0
210
NIFTY Tech Day 2022 最近のインターネット動向と未来のネットワークについて
niftycorp
0
450
Contributing to Global Development Through Handling for the LINE iOS App
techverse_2022
PRO
0
140
明日から始められるKyvernoを用いたポリシー制御
ry
3
130
2022年Update整理 Amazon SageMaker Cavas
shigeruoda
0
240
クラウドネイティブエンジニアを育成する/CNDT2022
mito201
1
390
Technologies that Support the Data Solution Business
techverse_2022
PRO
0
300

Featured

See All Featured
Creatively Recalculating Your Daily Design Routine
revolveconf
207
11k
Six Lessons from altMBA
skipperchong
15
1.6k
Rebuilding a faster, lazier Slack
samanthasiow
65
7.4k
GitHub's CSS Performance
jonrohan
1020
430k
How GitHub Uses GitHub to Build GitHub
holman
465
280k
YesSQL, Process and Tooling at Scale
rocio
158
12k
KATA
mclloyd
10
9.4k
Art Directing for the Web. Five minutes with CSS Template Areas
malarkey
196
9.7k
The MySQL Ecosystem @ GitHub 2015
samlambert
239
11k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
127
8.7k
Testing 201, or: Great Expectations
jmmastey
24
5.6k
Design by the Numbers
sachag
271
17k

Transcript

  1. WireGuardとOpenID Connectの連携を Goで実装してみた 株式会社サイバーエージェント AI事業本部 黒崎 優太 (@kuro_m )

  2. 黒崎 優太 • 株式会社サイバーエージェント AI事業本部 アプリ運⽤センター • ⼩売業界 x DXの事業をやっています

    • バックエンドエンジニア 直近はAWSとかGCPとかセキュリティまわりの 仕事をしていました @kuro_m @kurochan #times_kurochan

  3. VPNを作ってみました

  4. VPNサーバが欲しくなった経緯 • AI事業本部内のDX本部に異動しました • 詳しくはこれを⾒てください • https://speakerdeck.com/kurochan/retail-dx-project

  5. 聞こえてくる会話 • 🧑💻「xxxのシステムにアクセスするために出社しないといけないんですよね…」

  6. 聞こえてくる会話 • 🧑💻「xxxのシステムにアクセスするために出社しないといけないんですよね…」 • 👩💻「固定IPじゃないといけないらしくて、⾃宅のIPはすぐ変わっちゃうし…」

  7. 聞こえてくる会話 • 🧑💻「xxxのシステムにアクセスするために出社しないといけないんですよね…」 • 👩💻「固定IPじゃないといけないらしくて、⾃宅のIPはすぐ変わっちゃうし…」 • 🧑💻「xxxのスマホアプリの検証にもIPアドレス制限が…」

  8. VPNサーバの需要があるらしい • 様々な企業やシステムと連携しつつ開発する業態 • 何かしらの認証/暗号化 + IPアドレス制限という仕組みはよく出てくる • 個⼈的にはIPアドレス制限に頼りすぎずゼロトラストな環境は作っていきたい

  9. VPNサーバを作ってみる • VPNサーバの実現⽅法は⾊々ありそう • OSSもあるし、商⽤VPNもありそう • アカウントの棚卸し業務をやりたくない • サイバーエージェントには内製の認証基盤がある •

    OpenID Connectもあるよ • アプリ運⽤センターに異動してきてGo⾔語を書く必要が • 直近広告事業で6年半くらいScalaを書いていた • Go⾔語よく知らない… • Go⾔語の勉強がてら作ってみる

  10. 作ったものの概要

  11. WireGuard + OpenID Connect • 簡単に構築ができて、社内のID基盤とも連携できるのを⽬指す • 固定IP + 通信の暗号化のためにWireGuard

    VPN • 社内のID基盤を使った認証をするためにOpenID Connect • https://github.com/kurochan/oidc-wireguard-vpn/

  12. WireGuard • [CB ] WireGuard:次世代耐乱⽤性カーネルネットワークトンネル by Jason Donenfeld • https://www.slideshare.net/codeblue_jp/cb

    -donenfeld-ja

  13. WireGuard • https://www.slideshare.net/codeblue_jp/cb -donenfeld-ja

  14. WireGuard • Linux, Windows, iOS, Androidで動くOSSのVPN • 最近のLinuxだとカーネルに組み込まれています • 構築,

    設定も簡単 • 単体で使うのももちろんおすすめ

  15. OpenID Connect • OAuth . (認可) + 認証のしくみ • WEBサイトの間でのIDを連携するのに特化

    • シングルサインオンが実現できます

  16. OpenID Connect CIBA Flow • OpenID Connectは「Webサイト」に特化している • WireGuardのように、ブラウザアプリケーションではないアプリも認証したい •

    CIBA = Client Initiated Backchannel Authentication • クライアント側から認証を開始して、裏側(何かしらの⽅法)で認証/認可をする • VPN接続しようとしたらSlack経由で認証/認可のリクエストが⾶んでくるなど

  17. WireGuardに追加の認証を挟む • WireGuardは⾮常にシンプルなVPNなので、 処理をフックするような仕組みはありません!💥 • WireGuardで認証したあと、VPNの接続は確⽴したが、通信はブロックすると いう状態を作る • OpenID Connectで認証認可が成功したら通信を通す

    認証認可前

  18. WireGuardに追加の認証を挟む • WireGuardは⾮常にシンプルなVPNなので、 処理をフックするような仕組みはありません!💥 • WireGuardで認証したあと、VPNの接続は確⽴したが、通信はブロックすると いう状態を作る • OpenID Connectで認証認可が成功したら通信を通す

    認証認可後

  19. nftables • Linuxのネットワークファイアウォールであるnetfliterを管理する • iptablesを置き換えるフレームワーク • iptablesも裏側でnetfliterを使っている場合も

  20. WireGuard + OpenID Connect + nftables • なんかいけそう! • WireGuardのVPNが通ったとしても、退職や部署異動するとOpenID

    Connect で認可されなくなる • WireGuardのサーバ側の設定は定期棚卸しくらいでよくなる

  21. 使い⽅(ユーザ向け) • クライアントの設定する • PCもスマホもだいたい⼀緒

  22. 使い⽅(ユーザ向け) • VPN接続する

  23. 使い⽅(ユーザ向け) • Slackに通知がくるので認可する

  24. VPN経由で通信ができる

  25. 実装の紹介

  26. netlink • github.com/vishvananda/netlink • Linuxのネットワークインターフェイスを作ったり設定をいじる仕組み

  27. WireGuard • github.com/WireGuard/wgctrl-go • WireGuardのインターフェイスの詳細設定をする • 秘密鍵やVPNクライアントの公開鍵のペアなど

  28. WireGuardで新規接続を検知する • 最後にセッション(鍵交換など)を更新した時間がわかるので、その時刻の⽐較 をすると新規接続を検知できそう

  29. 追加認証をしていない⼈の通信をブロックする • github.com/google/nftables • nftablesでフィルタルールを動的に制御する

  30. nftables • ルールの追加の例

  31. nftables • ルールの追加の例

  32. OpenID Connect CIBA Flow • github.com/okzk/go-ciba • OIDC CIBA Flowを簡単に実現できる

    • 社内IdPとここで連携しています

  33. OpenID Connect CIBA Flow • github.com/okzk/go-ciba • OIDC CIBA Flowを簡単に実現できる

    • 社内IdPとここで連携しています

  34. 追加認証をしていない⼈の通信を許可する • nftablesのセットを操作する

  35. 追加認証をしていない⼈の通信を許可する • nftablesのセットを操作する

  36. 追加認証をしていない⼈の通信を許可する • nftablesのセットを操作する

  37. gracefulなシャットダウン • プロセスを停⽌させた時に余計なネットワークの設定などが残っていてほしく ない • プロセス停⽌のシグナルをフックする • シグナルもチャネルとして扱える • シグナルを何かしら受け取るまで無限にブロックさせておいて、

    シグナルを受け取ったらシャットダウン処理をする

  38. 作ってみた感想 • 便利そうな気がするので育てていきたい • yamlファイルで設定しないでDBを使うとweb UIとかから設定投⼊ができそう • Linuxと連携させる部分はScalaよりだいぶ書きやすかった • テストの書き⽅や⾒通しのいい設計はプロダクト開発をやりつつ

    勉強していきたい
  39. None