/usr/share/doc/HOWTO/fr-html/VPN-Masquerade-HOWTO.html is in doc-linux-fr-html 2013.01-2.
This file is owned by root:root, with mode 0o644.
The actual contents of the file can be viewed below.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387 388 389 390 391 392 393 394 395 396 397 398 399 400 401 402 403 404 405 406 407 408 409 410 411 412 413 414 415 416 417 418 419 420 421 422 423 424 425 426 427 428 429 430 431 432 433 434 435 436 437 438 439 440 441 442 443 444 445 446 447 448 449 450 451 452 453 454 455 456 457 458 459 460 461 462 463 464 465 466 467 468 469 470 471 472 473 474 475 476 477 478 479 480 481 482 483 484 485 486 487 488 489 490 491 492 493 494 495 496 497 498 499 500 501 502 503 504 505 506 507 508 509 510 511 512 | <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta name="generator" content=
"HTML Tidy for Linux/x86 (vers 25 March 2009), see www.w3.org">
<title>Linux VPN Masquerade HOWTO - Version
française</title>
<meta name="GENERATOR" content=
"Modular DocBook HTML Stylesheet Version 1.79">
</head>
<body class="ARTICLE" bgcolor="#FFFFFF" text="#000000" link=
"#0000FF" vlink="#840084" alink="#0000FF">
<div class="ARTICLE">
<div class="TITLEPAGE">
<h1 class="TITLE"><a name="AEN2" id="AEN2">Linux VPN Masquerade
HOWTO - Version française</a></h1>
<h3 class="AUTHOR"><a name="AEN4" id="AEN4">John D. Hardin
<jhardin@wolfenet.com>, version française par Yann
Hirou <hirou@linuxfr.org></a></h3>
<p class="PUBDATE">$Revision: 2.19 $ $Date: 2000-10-22 12:07:43-07
$<br></p>
<div>
<div class="ABSTRACT"><a name="AEN11" id="AEN11"></a>
<p>Ce document décrit comment configurer un pare-feu Linux
pour masquer le trafic d'un réseau privé virtuel
(NdT: Virtual Private Network, VPN) utilisant IPsec ou PPTP, vous
permettant ainsi d'établir une connexion VPN sans perdre ni
la sécurité ni la flexibilité apportées
par la connexion internet de votre pare-feu Linux, et vous
permettant de rendre accessible un serveur VPN qui n'a pas
d'adresse IP publique. Des informations sur la configuration du
client et du serveur VPN sont également fournies.</p>
</div>
</div>
<hr></div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN13" id="AEN13">Introduction</a></h2>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN15" id="AEN15">Introduction</a></h3>
<p>Ce document décrit comment configurer le masquage d'un
trafic VPN de type IPsec ou PPTP. Les VPNs utilisant SSH (comme
celui vendu par F-Secure, et référencé dans le
<a href="http://www.linux.org/help/ldp/mini/VPN.html" target=
"_top">VPN mini-HOWTO</a>) sont fondés sur un trafic TCP
standard, et ne nécessitent aucune modification
particulière du noyau.</p>
<p>Le masquage de VPN vous permet d'établir une ou plusieurs
sessions IPsec et/ou PPTP vers des serveurs VPN accessibles sur
internet via votre <a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?firewall+machine"
target="_top">pare-feu internet</a> sans que vous deviez connecter
la machine sur laquelle tourne le client VPN directement à
votre <a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?internet+service+provider"
target="_top">FAI (Fournisseur d'Accès Internet)</a> - donc
en conservant tous les avantages de votre pare-feu internet sous
Linux. Il vous est également possible de configurer un
serveur VPN avec une adresse IP de réseau privé (voir
le <a href="http://andrew2.andrew.cmu.edu/rfc/rfc1918.html" target=
"_top">RFC1918</a>) derrière un pare-feu Linux faisant du
masquage, vous permettant ainsi de fournir de façon assez
sécurisée un accès à un réseau
privé via seulement une seule adresse IP
référencée - y compris si cette adresse IP
représente celle d'une connexion modem pouvant varier.</p>
<p>Il est très fortement recommandé que vous
compreniez, configuriez et testiez le masquage IP avant de tenter
de mettre en place du masquage VPN. Consultez le <a href=
"http://members.home.net/ipmasq/ipmasq-HOWTO-1.82.html" target=
"_top">IP Masquerade HOWTO</a> et la page de ressources sur le
masquage IP à l'adresse <a href="http://ipmasq.cjb.net/"
target="_top">http://ipmasq.cjb.net/</a> avant de commencer. La
planification et la mise en place de votre VPN et de votre pare-feu
dépassent le cadre de ce document. Voici quelques ressources
:</p>
<ul>
<li>
<p><a href=
"http://www.linux.org/help/ldp/howto/Firewall-HOWTO.html" target=
"_top">http://www.linux.org/help/ldp/howto/Firewall-HOWTO.html</a></p>
</li>
<li>
<p><a href=
"http://hal2000.hal.vein.hu/~mag/linux-security/VPN-HOWTO.html"
target=
"_top">http://hal2000.hal.vein.hu/~mag/linux-security/VPN-HOWTO.html</a></p>
</li>
</ul>
<p>Le patch pour les noyaux de la série 2.0.x fonctionne
bien sur la version 2.0.36 du noyau Linux, et a été
intégré dans la version 2.0.37. Il doit
également fonctionner sur les versions antérieures
à la 2.0.36, et devrait fonctionner sur les noyaux Linux
jusqu'à la version 2.1.102. Le code du masquage IP se
trouvant dans le noyau a été restructuré
autour de la version 2.1.103, nécessitant un patch
différent pour les séries de noyaux 2.1.105+ et
2.2.x.. Un patch est disponible pour les noyaux de 2.2.5 à
2.2.17, et il devrait fonctionner sur les noyaux
antérieurs.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN34" id="AEN34">Avis, Crédits
Ressources</a></h3>
<p>Le site où trouver les patchs du noyau pour le masquage
VPN avec Linux est <a href=
"http://www.impsec.org/linux/masquerade/ip_masq_vpn.html" target=
"_top">http://www.impsec.org/linux/masquerade/ip_masq_vpn.html</a></p>
<p>N'hésitez pas à m'envoyer votre avis ou des
commentaires sur ce document à l'adresse <a href=
"mailto:jhardin@wolfenet.com" target=
"_top"><jhardin@wolfenet.com></a>. La version actuelle est
disponible à l'adresse :</p>
<ul>
<li>
<p>HTML: <a href=
"ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.html"
target=
"_top">ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.html</a></p>
</li>
<li>
<p>PostScript: <a href=
"ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.ps.gz"
target=
"_top">ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.ps.gz</a></p>
</li>
<li>
<p>SGML source: <a href=
"ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-Masquerade.sgml"
target=
"_top">ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-Masquerade.sgml</a></p>
</li>
</ul>
Si vous travaillez avec un noyau dont le numéro de version
est supérieur à tous ceux mentionnés dans ce
document, <span class="emphasis"><i class=
"EMPHASIS">merci</i></span> de regarder s'il n'y a pas une version
à jour de ce HOWTO sur le site cité ci-dessus avant
de me contacter directement.
<p>Il peut également être trouvé via le
<a href="http://metalab.unc.edu/LDP/HOWTO/" target=
"_top">répertoire HOWTO</a> du <a href=
"http://metalab.unc.edu/LDP/" target="_top">Linux Documentation
Project</a> et le répertoire <tt class="LITERAL"><a href=
"file:/usr/doc/HOWTO/" target="_top">/usr/doc/HOWTO/</a></tt> sur
la machine Linux la plus proche. Ces copies ne sont pas directement
mises à jour par moi, donc elles peuvent être un peu
dépassées.</p>
<p>J'ai personnellement de l'expérience sur le masquage de
clients IPsec et PPTP tournant sur MS W'98 et NT, sur la
configuration d'un serveur PPTP avec une adresse IP publique, et
sur l'utilisation de PPTP pour du routage inter-réseaux.</p>
<p>Les informations sur le masquage d'un serveur PPTP avec une
adresse IP privée proviennent de discussions avec Len Bayles
<a href="mailto:len@isdi.com" target=
"_top"><len@isdi.com></a>, Simon Cocking <a href=
"mailto:simon@ibs.com.au" target=
"_top"><simon@ibs.com.au></a> et C. Scott Ananian <a href=
"mailto:cananian@lcs.mit.edu" target=
"_top"><cananian@lcs.mit.edu></a>.</p>
<p>Le site pour le patch du noyau concernant uniquement le masquage
PPTP pour les séries de noyaux 2.1.105+ et les premiers
2.2.x est <a href=
"http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html" target=
"_top">http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html</a>.</p>
<p>Le site pour le patch du noyau concernant la redirection de port
<tt class="LITERAL">ipportfw</tt> et pour l'outil de configuration
des noyaux 2.0.x est <a href=
"http://www.ox.compsoc.org.uk/~steve/portforwarding.html" target=
"_top">http://www.ox.compsoc.org.uk/~steve/portforwarding.html</a>.
La redirection de port est incluse dans les noyaux 2.2.x, et
l'outil de configuration <tt class="LITERAL">ipmasqadm</tt>
contrôlant la redirection de port des 2.2.x peut être
obtenu à l'adresse <a href="http://juanjox.kernelnotes.org/"
target="_top">http://juanjox.kernelnotes.org/</a>.</p>
<p>Le site pour le redirecteur IP générique
<tt class="LITERAL">ipfwd</tt> est <a href=
"http://www.pdos.lcs.mit.edu/~cananian/Projects/IPfwd/" target=
"_top">http://www.pdos.lcs.mit.edu/~cananian/Projects/IPfwd/</a>.</p>
<p>Pleins de remerciements à Gordon Chaffee <a href=
"mailto:chaffee@cs.berkeley.edu" target=
"_top"><chaffee@cs.berkeley.edu></a> pour avoir codé
et partagé un patch pour traceroute qui permet de tracer le
trafic GRE. Il va se montrer d'une valeur inestimable pour la
détection d'erreurs si votre trafic GRE se trouve
bloqué quelque part. Le patch est disponible à
l'adresse <a href=
"http://www.wolfenet.com/~jhardin/pptp-traceroute.patch.gz" target=
"_top">http://www.wolfenet.com/~jhardin/pptp-traceroute.patch.gz</a></p>
<p>Encore plus de remerciements à Steve Chinatti <a href=
"mailto:chinatti@alumni.Princeton.EDU" target=
"_top"><chinatti@alumni.Princeton.EDU></a> pour avoir
partagé sa modification du masquage IPsec, d'où j'ai
récupéré sans vergogne quelques idées
très importantes...</p>
<p>De plus amples informations sur comment installer des
règles de pare-feu s'exécutant automatiquement - y
compris comment utiliser automatiquement la bonne adresse IP dans
un environnement d'adressage IP dynamique - peuvent se trouver
à l'adresse <a href=
"http://www.wolfenet.com/~jhardin/ipfwadm/invocation.html" target=
"_top">http://www.wolfenet.com/~jhardin/ipfwadm/invocation.html</a></p>
<p>Le site pour Linux FreeS/WAN (IPsec pour Linux) est <a href=
"http://www.xs4all.nl/~freeswan/" target=
"_top">http://www.xs4all.nl/~freeswan/</a> - c'est la solution de
VPN sous Linux conseillée.</p>
<p>Un serveur PPTP Linux natif appelé PoPToP est disponible
à l'adresse <a href=
"http://www.moretonbay.com/vpn/pptp.html" target=
"_top">http://www.moretonbay.com/vpn/pptp.html</a> - pour les
informations les plus à jour sur PPTP sous Linux, allez
y.</p>
<p>Paul Cadach <a href="mailto:paul@odt.east.telecom.kz" target=
"_top"><paul@odt.east.telecom.kz></a> a écrit des
patchs qui ajoutent au pppd de Linux le support MS-CHAP-v2, MPPE et
Multilink. Allez voir <a href=
"ftp://ftp.east.telecom.kz/pub/src/networking/ppp/ppp-2.3.5-my.tgz"
target=
"_top">ftp://ftp.east.telecom.kz/pub/src/networking/ppp/ppp-2.3.5-my.tgz</a>
pour MS-CHAP et MPPE, et <a href=
"ftp://ftp.east.telecom.kz/pub/src/networking/ppp/multilink/ppp-2.3.5-mp.tgz"
target=
"_top">ftp://ftp.east.telecom.kz/pub/src/networking/ppp/multilink/ppp-2.3.5-mp.tgz</a>
pour Multilink. Un autre ensemble de patchs (probablement
intéressants) pour pppd est disponible sur le site de
téléchargement de PoPToP à l'adresse <a href=
"http://www.moretonbay.com/vpn/download_pptp.html" target=
"_top">http://www.moretonbay.com/vpn/download_pptp.html</a>.</p>
<p>Le site du projet original PPTP pour Linux est <a href=
"http://www.pdos.lcs.mit.edu/~cananian/Projects/PPTP" target=
"_top">http://www.pdos.lcs.mit.edu/~cananian/Projects/PPTP</a> et
un patch pour ajouter les fonctionnalités de serveur PPTP
est disponible à l'adresse <a href=
"http://debs.fuller.edu/cgi-bin/display?list=pptp=222" target=
"_top">http://debs.fuller.edu/cgi-bin/display?list=pptp=222</a></p>
<p>Merci à Eric Raymond de maintenir <a href=
"http://www.tuxedo.org/jargon/" target="_top">Le fichier du Jargon
(The Jargon File)</a>, et à Denis Howe de maintenir <a href=
"http://foldoc.doc.ic.ac.uk/" target="_top">Le dictionnaire en
ligne gratuit de l'informatique (The Free On-line Dictionary of
Computing)</a>.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN93" id="AEN93">Copyright mise en
garde</a></h3>
<p>Ce document est Coyright 1999-2000 par John D. Hardin. Vous avez
la permission de le redistribuer sous les termes de la licence LDP,
disponible à l'adresse <a href=
"http://www.linuxdoc.org/COPYRIGHT.html" target=
"_top">http://www.linuxdoc.org/COPYRIGHT.html</a></p>
<p>Les informations fournies dans ce document sont correctes dans
la limite de mon savoir. Le masquage IP est <span class=
"emphasis"><i class="EMPHASIS">expérimental</i></span>, et
il est possible que j'aie fait des erreurs en écrivant ou
testant le patch du noyau, ou encore en écrivant les
instructions dans ce document ; à vous de décider si
vous souhaitez effectuer les changements indiqués dans ce
document.</p>
<pre class="SCREEN">
<span class="emphasis"><i class=
"EMPHASIS">L'AUTEUR NE PEUT ETRE TENU RESPONSABLE POUR DES DEGATS CAUSES PAR DES
ACTIONS BASEES SUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT.
SAUVEGARDEZ TOUTES LES DONNEES CRITIQUES AVANT D'EFFECTUER LES
CHANGEMENTS INDIQUES DANS CE DOCUMENT. ASSUREZ VOUS D'AVOIR UN NOYAU
QUI MARCHE, SUR LEQUEL VOUS POUVEZ DEMARRER, AVANT DE PATCHER ET
DE RECOMPILER VOTRE NOYAU COMME INDIQUE DANS CE DOCUMENT.</i></span>
</pre>
En d'autres mots, prenez des précautions.</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN102" id="AEN102">Connaissances
requises</a></h2>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN104" id="AEN104">Qu'est-ce qu'un VPN
?</a></h3>
<p>Un <a href="http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?VPN"
target="_top">Réseau Privé Virtuel (Virtual Private
Network)</a>, ou VPN, est un tunnel qui véhicule le trafic
d'un réseau privé d'un système terminal vers
un autre, en empruntant un réseau public (comme l'internet),
sans que les intermédiaires entre les deux machines
terminales soient visibles du point de vue du trafic
véhiculé, et sans que les équipements
intermédiaires voient les paquets qui sont en train de
transiter dans le tunnel. Le tunnel peut en option compresser et/ou
crypter les données, fournissant des performances accrues et
quelques mesures de sécurité.</p>
<p>La partie Virtuelle vient du fait que vous construisez une
liaison privée au dessus d'un réseau public,
plutôt que d'acheter une liaison en dur sur une ligne
louée. Le VPN vous permet de considérer que vous
utilisez une ligne louée ou une ligne
téléphonique pour communiquer entre les deux points
terminaux.</p>
<p>Pour information, vous pouvez trouver la FAQ sur le VPN à
l'adresse <a href=
"http://kubarb.phsx.ukans.edu/~tbird/vpn/FAQ.html" target=
"_top">http://kubarb.phsx.ukans.edu/~tbird/vpn/FAQ.html</a>.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN111" id="AEN111">Qu'est-ce qu'IPsec
?</a></h3>
<p><span class="emphasis"><i class="EMPHASIS"><a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?IPsec" target=
"_top">IPsec</a></i></span> est un ensemble de protocoles standards
pour implémenter des communications sécurisées
ainsi que l'échange de clés de cryptage entre
ordinateurs. Il peut être utilisé pour mettre en place
un VPN.</p>
<p>Un réseau privé virtuel IPsec consiste
généralement en deux canaux de communication entre
les machines terminales : un canal d'échange de clés,
par lequel les informations sur l'authentification et les
clés de cryptage transitent, et un ou plusieurs canaux de
données par lesquels le trafic du réseau privé
est véhiculé.</p>
<p>Le canal d'échange de clés est une connexion UDP
standard en provenance de et vers le port 500. Le canal de
données transportant le trafic entre le client et le serveur
utilise le protocole IP numéro 50 (ESP).</p>
<p>Vous pouvez trouver de plus amples informations dans la FAQ
IPsec de F-Secure, à l'adresse <a href=
"http://www.Europe.F-Secure.com/support/vpn+/faq/techfaq.html"
target=
"_top">http://www.Europe.F-Secure.com/support/vpn+/faq/techfaq.html</a>,
et dans les <a href=
"http://andrew2.andrew.cmu.edu/rfc/rfc2402.html" target=
"_top">RFC2402</a> (le protocole AH, protocole IP numéro
51), <a href="http://andrew2.andrew.cmu.edu/rfc/rfc2406.html"
target="_top">RFC2406</a> (le protocole ESP, protocole IP
numéro 50), et <a href=
"http://andrew2.andrew.cmu.edu/rfc/rfc2408.html" target=
"_top">RFC2408</a> (le protocole d'échange de clés
ISAKMP).</p>
<p>IPsec est un protocole de communication symétrique.
Cependant, vu que la plupart des gens vont s'y trouver
confronté uniquement sous la forme d'un client Windows
accédant à une passerelle centrale de
sécurité réseau, le terme client va être
utilisé pour désigner la machine devant laquelle
l'utilisateur est assis, et le terme serveur va être
utilisé pour désigner la passerelle centrale de
sécurité réseau.</p>
<p>Note importante : si votre VPN est basé sur le protocole
AH (y compris AH+ESP), il ne peut pas être masqué. Le
protocole AH utilise un contrôleur d'intégrité
cryptographique sur des parties de l'entête IP, y compris
l'adresse IP. Le masquage IP modifie l'adresse source pour les
paquets sortants, et l'adresse destination pour les paquets
entrants. La passerelle de masquage ne pouvant pas participer
à l'échange de clés, elle ne peut pas
régénérer correctement les contrôleurs
d'intégrité cryptographiques pour les entêtes
IP modifiés. Les paquets IP modifiés seront donc
rejetés par le destinataire comme des paquets invalides, car
ils ne passeront pas le test d'intégrité
cryptographique.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN125" id="AEN125">Qu'est-ce que PPTP
?</a></h3>
<p><span class="emphasis"><i class="EMPHASIS"><a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?PPTP" target=
"_top">PPTP</a></i></span> signifie <span class=
"emphasis"><i class="EMPHASIS">P</i></span>oint-to-<span class=
"emphasis"><i class="EMPHASIS">P</i></span>oint <span class=
"emphasis"><i class="EMPHASIS">T</i></span>unnelling <span class=
"emphasis"><i class="EMPHASIS">P</i></span>rotocol. C'est un
protocole proposé par Microsoft pour réaliser un
VPN.</p>
<p>Le protocole VPN PPTP consiste en deux canaux de communication
entre le client et le serveur : un canal de contrôle par
lequel les informations de gestion du lien transitent, et un canal
de données par lequel le trafic (éventuellement
crypté) du réseau privé est
véhiculé.</p>
<p>Le canal de contrôle est une connexion TCP standard vers
le port 1723 du serveur. Le canal de données
véhiculant le trafic du réseau privé utilise
le protocole IP numéro 47, un protocole d'encapsulation
générique décrit dans le <a href=
"http://andrew2.andrew.cmu.edu/rfc/rfc1701.html" target=
"_top">RFC1701</a>. La transmission transparente des données
sur le canal de données est réalisée par la
négociation d'une connexion PPP standard sur ce canal,
simplement comme s'il s'agissait d'une connexion modem directement
du client vers le serveur. Les options négociées sur
le tunnel via le protocole PPP contrôlent si les
données sont compressées et/ou cryptées, et
donc PPTP n'a rien à voir avec le cryptage.</p>
<p>Les détails du protocole PPTP sont documentés dans
le <a href="http://andrew2.andrew.cmu.edu/rfc/rfc2637.html" target=
"_top">RFC2637</a>.</p>
<p>L'implémentation du protocole PPTP par Microsoft n'est
pas considérée comme très
sécurisée. Si vous êtes
intéressés par les détails, voici trois
analyses différentes :</p>
<p><a href="http://www.counterpane.com/pptp.html" target=
"_top">http://www.counterpane.com/pptp.html</a></p>
<p><a href="http://www.geek-girl.com/bugtraq/1999_1/0664.html"
target=
"_top">http://www.geek-girl.com/bugtraq/1999_1/0664.html</a></p>
<p><a href="http://oliver.efri.hr/~crv/security/bugs/NT/pptp2.html"
target=
"_top">http://oliver.efri.hr/~crv/security/bugs/NT/pptp2.html</a></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN146" id="AEN146">Qu'est-ce que FWZ
?</a></h3>
<p><span class="emphasis"><i class="EMPHASIS">FWZ</i></span> est un
protocole de cryptage propriétaire développé
par <a href="http://www.checkpoint.com/" target="_top">Check Point
Software Technologies</a>. Il est utilisé dans les VPNs qui
sont construits autour de leur produit Firewall-1.</p>
<p>Un pare-feu Checkpoint peut être configuré avec
différents modes. Le mode d' encapsulation FWZ <span class=
"emphasis"><i class="EMPHASIS">ne peut pas</i></span> être
masqué. Le mode IKE, qui utilise les protocoles standards
IPsec, peut être masqué avec des changements de
configuration minimes sur la passerelle VPN.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN153" id="AEN153">Pourquoi masquer un
client VPN ?</a></h3>
<p>La plupart des clients VPN actuels partent du principe que vous
allez connecter l'ordinateur client directement à internet.
Faire cela lorsque vous n'avez qu'une seule connexion
d'accès internet contourne votre pare-feu Linux, la
sécurité, ainsi que les capacités de partage
d'accès qu'il fournit. Étendre le pare-feu Linux pour
aussi masquer le trafic VPN vous permet de conserver la
sécurité pare-feu fournie par le pare-feu Linux,
ainsi que d'autoriser d'autres systèmes de votre
réseau local à accéder à internet, sans
avoir à prendre en compte le fait que la connexion VPN soit
active ou non.</p>
<p>Si votre pare-feu est utilisé en environnement
professionnel, vous pouvez également souhaiter imposer aux
utilisateurs clients du VPN de traverser ce pare-feu pour des
raisons de sécurité, plutôt que de leur fournir
des modems pour qu'ils puissent se connecter tout seuls à
l'extérieur quand ils ont besoin d'utiliser le VPN. Le
masquage VPN vous permet de le faire même si les machines
clientes n'ont pas des adresses IP publiques.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN157" id="AEN157">Plusieurs clients
sur mon réseau local peuvent-ils utiliser IPsec
simultanément ?</a></h3>
<p>Oui, bien qu'il puisse y avoir parfois quelques problèmes
mineurs.</p>
<p>Les protocoles IPsec définissent une méthode pour
identifier les flux de trafic appelée <span class=
"emphasis"><i class="EMPHASIS">Index des Paramètres de
Sécurité (Security Parameters Index)</i></span>
(SPI). Malheureusement le SPI utilisé pour le trafic sortant
est différent du SPI utilisé pour le trafic entrant,
et il n'y a pas d'autre information permettant l'identification qui
ne soit pas cryptée, donc l'association entre le flux
entrant et le flux sortant est difficile et pas parfaitement
fiable.</p>
<p>Le masquage IPsec tente d'associer les trafics ESP entrant et
sortant en mettant en série les nouvelles connexions. Alors
que ceci fonctionne bien pendant les tests, on ne peut pas garantir
que ce soit parfaitement fiable, et la sérialisation des
nouveaux trafics peut aboutir à des fins d'attente
(timeouts) si la liaison est saturée ou si plusieurs
machines locales faisant de l'IPsec tentent d'initier des
communications ou de rééchanger leurs clés
simultanément, avec la même machine distante faisant
de l'IPsec.</p>
<p>Il est également reconnu que ce schéma associatif
peut ne pas arriver à associer les flux de trafic
correctement, les machines faisant de l'IPsec ne vont alors pas
prendre en compte le trafic mal dirigé, car il aura de
mauvaises valeurs SPI. Ce comportement est requis par le RFC sur
IPsec.</p>
<p>Ces problèmes auraient pu être supprimés
s'il y avait eu un moyen d'écouter les nouvelles valeurs SPI
provenant de l'échange de clés ISAKMP avant que le
moindre trafic ESP n'apparaisse, mais malheureusement cette partie
de l'échange de clés est cryptée.</p>
<p>Afin de minimiser les problèmes associés à
cela, il est recommandé d'ouvrir une fenêtre de
commandes sur votre machine IPsec masquée, et de lancer le
programme ping vers une machine du réseau distant pour
maintenir le tunnel actif.</p>
<p>Regardez les notes techniques sur IPsec à la fin du
document pour de plus amples détails.</p>
<p><a name="multiclientpptp" id="multiclientpptp"></a></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN169" id="AEN169"></a></h3>
</div>
</div>
</div>
</body>
</html>
|