This file is indexed.

/usr/share/doc/HOWTO/fr-html/VPN-Masquerade-HOWTO.html is in doc-linux-fr-html 2013.01-2.

This file is owned by root:root, with mode 0o644.

The actual contents of the file can be viewed below.

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta name="generator" content=
"HTML Tidy for Linux/x86 (vers 25 March 2009), see www.w3.org">
<title>Linux VPN Masquerade HOWTO - Version
fran&ccedil;aise</title>
<meta name="GENERATOR" content=
"Modular DocBook HTML Stylesheet Version 1.79">
</head>
<body class="ARTICLE" bgcolor="#FFFFFF" text="#000000" link=
"#0000FF" vlink="#840084" alink="#0000FF">
<div class="ARTICLE">
<div class="TITLEPAGE">
<h1 class="TITLE"><a name="AEN2" id="AEN2">Linux VPN Masquerade
HOWTO - Version fran&ccedil;aise</a></h1>
<h3 class="AUTHOR"><a name="AEN4" id="AEN4">John D. Hardin
&lt;jhardin@wolfenet.com&gt;, version fran&ccedil;aise par Yann
Hirou &lt;hirou@linuxfr.org&gt;</a></h3>
<p class="PUBDATE">$Revision: 2.19 $ $Date: 2000-10-22 12:07:43-07
$<br></p>
<div>
<div class="ABSTRACT"><a name="AEN11" id="AEN11"></a>
<p>Ce document d&eacute;crit comment configurer un pare-feu Linux
pour masquer le trafic d'un r&eacute;seau priv&eacute; virtuel
(NdT: Virtual Private Network, VPN) utilisant IPsec ou PPTP, vous
permettant ainsi d'&eacute;tablir une connexion VPN sans perdre ni
la s&eacute;curit&eacute; ni la flexibilit&eacute; apport&eacute;es
par la connexion internet de votre pare-feu Linux, et vous
permettant de rendre accessible un serveur VPN qui n'a pas
d'adresse IP publique. Des informations sur la configuration du
client et du serveur VPN sont &eacute;galement fournies.</p>
</div>
</div>
<hr></div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN13" id="AEN13">Introduction</a></h2>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN15" id="AEN15">Introduction</a></h3>
<p>Ce document d&eacute;crit comment configurer le masquage d'un
trafic VPN de type IPsec ou PPTP. Les VPNs utilisant SSH (comme
celui vendu par F-Secure, et r&eacute;f&eacute;renc&eacute; dans le
<a href="http://www.linux.org/help/ldp/mini/VPN.html" target=
"_top">VPN mini-HOWTO</a>) sont fond&eacute;s sur un trafic TCP
standard, et ne n&eacute;cessitent aucune modification
particuli&egrave;re du noyau.</p>
<p>Le masquage de VPN vous permet d'&eacute;tablir une ou plusieurs
sessions IPsec et/ou PPTP vers des serveurs VPN accessibles sur
internet via votre <a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?firewall+machine"
target="_top">pare-feu internet</a> sans que vous deviez connecter
la machine sur laquelle tourne le client VPN directement &agrave;
votre <a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?internet+service+provider"
target="_top">FAI (Fournisseur d'Acc&egrave;s Internet)</a> - donc
en conservant tous les avantages de votre pare-feu internet sous
Linux. Il vous est &eacute;galement possible de configurer un
serveur VPN avec une adresse IP de r&eacute;seau priv&eacute; (voir
le <a href="http://andrew2.andrew.cmu.edu/rfc/rfc1918.html" target=
"_top">RFC1918</a>) derri&egrave;re un pare-feu Linux faisant du
masquage, vous permettant ainsi de fournir de fa&ccedil;on assez
s&eacute;curis&eacute;e un acc&egrave;s &agrave; un r&eacute;seau
priv&eacute; via seulement une seule adresse IP
r&eacute;f&eacute;renc&eacute;e - y compris si cette adresse IP
repr&eacute;sente celle d'une connexion modem pouvant varier.</p>
<p>Il est tr&egrave;s fortement recommand&eacute; que vous
compreniez, configuriez et testiez le masquage IP avant de tenter
de mettre en place du masquage VPN. Consultez le <a href=
"http://members.home.net/ipmasq/ipmasq-HOWTO-1.82.html" target=
"_top">IP Masquerade HOWTO</a> et la page de ressources sur le
masquage IP &agrave; l'adresse <a href="http://ipmasq.cjb.net/"
target="_top">http://ipmasq.cjb.net/</a> avant de commencer. La
planification et la mise en place de votre VPN et de votre pare-feu
d&eacute;passent le cadre de ce document. Voici quelques ressources
:</p>
<ul>
<li>
<p><a href=
"http://www.linux.org/help/ldp/howto/Firewall-HOWTO.html" target=
"_top">http://www.linux.org/help/ldp/howto/Firewall-HOWTO.html</a></p>
</li>
<li>
<p><a href=
"http://hal2000.hal.vein.hu/~mag/linux-security/VPN-HOWTO.html"
target=
"_top">http://hal2000.hal.vein.hu/~mag/linux-security/VPN-HOWTO.html</a></p>
</li>
</ul>
<p>Le patch pour les noyaux de la s&eacute;rie 2.0.x fonctionne
bien sur la version 2.0.36 du noyau Linux, et a &eacute;t&eacute;
int&eacute;gr&eacute; dans la version 2.0.37. Il doit
&eacute;galement fonctionner sur les versions ant&eacute;rieures
&agrave; la 2.0.36, et devrait fonctionner sur les noyaux Linux
jusqu'&agrave; la version 2.1.102. Le code du masquage IP se
trouvant dans le noyau a &eacute;t&eacute; restructur&eacute;
autour de la version 2.1.103, n&eacute;cessitant un patch
diff&eacute;rent pour les s&eacute;ries de noyaux 2.1.105+ et
2.2.x.. Un patch est disponible pour les noyaux de 2.2.5 &agrave;
2.2.17, et il devrait fonctionner sur les noyaux
ant&eacute;rieurs.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN34" id="AEN34">Avis, Cr&eacute;dits
Ressources</a></h3>
<p>Le site o&ugrave; trouver les patchs du noyau pour le masquage
VPN avec Linux est <a href=
"http://www.impsec.org/linux/masquerade/ip_masq_vpn.html" target=
"_top">http://www.impsec.org/linux/masquerade/ip_masq_vpn.html</a></p>
<p>N'h&eacute;sitez pas &agrave; m'envoyer votre avis ou des
commentaires sur ce document &agrave; l'adresse <a href=
"mailto:jhardin@wolfenet.com" target=
"_top">&lt;jhardin@wolfenet.com&gt;</a>. La version actuelle est
disponible &agrave; l'adresse :</p>
<ul>
<li>
<p>HTML: <a href=
"ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.html"
target=
"_top">ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.html</a></p>
</li>
<li>
<p>PostScript: <a href=
"ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.ps.gz"
target=
"_top">ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.ps.gz</a></p>
</li>
<li>
<p>SGML source: <a href=
"ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-Masquerade.sgml"
target=
"_top">ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-Masquerade.sgml</a></p>
</li>
</ul>
Si vous travaillez avec un noyau dont le num&eacute;ro de version
est sup&eacute;rieur &agrave; tous ceux mentionn&eacute;s dans ce
document, <span class="emphasis"><i class=
"EMPHASIS">merci</i></span> de regarder s'il n'y a pas une version
&agrave; jour de ce HOWTO sur le site cit&eacute; ci-dessus avant
de me contacter directement.
<p>Il peut &eacute;galement &ecirc;tre trouv&eacute; via le
<a href="http://metalab.unc.edu/LDP/HOWTO/" target=
"_top">r&eacute;pertoire HOWTO</a> du <a href=
"http://metalab.unc.edu/LDP/" target="_top">Linux Documentation
Project</a> et le r&eacute;pertoire <tt class="LITERAL"><a href=
"file:/usr/doc/HOWTO/" target="_top">/usr/doc/HOWTO/</a></tt> sur
la machine Linux la plus proche. Ces copies ne sont pas directement
mises &agrave; jour par moi, donc elles peuvent &ecirc;tre un peu
d&eacute;pass&eacute;es.</p>
<p>J'ai personnellement de l'exp&eacute;rience sur le masquage de
clients IPsec et PPTP tournant sur MS W'98 et NT, sur la
configuration d'un serveur PPTP avec une adresse IP publique, et
sur l'utilisation de PPTP pour du routage inter-r&eacute;seaux.</p>
<p>Les informations sur le masquage d'un serveur PPTP avec une
adresse IP priv&eacute;e proviennent de discussions avec Len Bayles
<a href="mailto:len@isdi.com" target=
"_top">&lt;len@isdi.com&gt;</a>, Simon Cocking <a href=
"mailto:simon@ibs.com.au" target=
"_top">&lt;simon@ibs.com.au&gt;</a> et C. Scott Ananian <a href=
"mailto:cananian@lcs.mit.edu" target=
"_top">&lt;cananian@lcs.mit.edu&gt;</a>.</p>
<p>Le site pour le patch du noyau concernant uniquement le masquage
PPTP pour les s&eacute;ries de noyaux 2.1.105+ et les premiers
2.2.x est <a href=
"http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html" target=
"_top">http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html</a>.</p>
<p>Le site pour le patch du noyau concernant la redirection de port
<tt class="LITERAL">ipportfw</tt> et pour l'outil de configuration
des noyaux 2.0.x est <a href=
"http://www.ox.compsoc.org.uk/~steve/portforwarding.html" target=
"_top">http://www.ox.compsoc.org.uk/~steve/portforwarding.html</a>.
La redirection de port est incluse dans les noyaux 2.2.x, et
l'outil de configuration <tt class="LITERAL">ipmasqadm</tt>
contr&ocirc;lant la redirection de port des 2.2.x peut &ecirc;tre
obtenu &agrave; l'adresse <a href="http://juanjox.kernelnotes.org/"
target="_top">http://juanjox.kernelnotes.org/</a>.</p>
<p>Le site pour le redirecteur IP g&eacute;n&eacute;rique
<tt class="LITERAL">ipfwd</tt> est <a href=
"http://www.pdos.lcs.mit.edu/~cananian/Projects/IPfwd/" target=
"_top">http://www.pdos.lcs.mit.edu/~cananian/Projects/IPfwd/</a>.</p>
<p>Pleins de remerciements &agrave; Gordon Chaffee <a href=
"mailto:chaffee@cs.berkeley.edu" target=
"_top">&lt;chaffee@cs.berkeley.edu&gt;</a> pour avoir cod&eacute;
et partag&eacute; un patch pour traceroute qui permet de tracer le
trafic GRE. Il va se montrer d'une valeur inestimable pour la
d&eacute;tection d'erreurs si votre trafic GRE se trouve
bloqu&eacute; quelque part. Le patch est disponible &agrave;
l'adresse <a href=
"http://www.wolfenet.com/~jhardin/pptp-traceroute.patch.gz" target=
"_top">http://www.wolfenet.com/~jhardin/pptp-traceroute.patch.gz</a></p>
<p>Encore plus de remerciements &agrave; Steve Chinatti <a href=
"mailto:chinatti@alumni.Princeton.EDU" target=
"_top">&lt;chinatti@alumni.Princeton.EDU&gt;</a> pour avoir
partag&eacute; sa modification du masquage IPsec, d'o&ugrave; j'ai
r&eacute;cup&eacute;r&eacute; sans vergogne quelques id&eacute;es
tr&egrave;s importantes...</p>
<p>De plus amples informations sur comment installer des
r&egrave;gles de pare-feu s'ex&eacute;cutant automatiquement - y
compris comment utiliser automatiquement la bonne adresse IP dans
un environnement d'adressage IP dynamique - peuvent se trouver
&agrave; l'adresse <a href=
"http://www.wolfenet.com/~jhardin/ipfwadm/invocation.html" target=
"_top">http://www.wolfenet.com/~jhardin/ipfwadm/invocation.html</a></p>
<p>Le site pour Linux FreeS/WAN (IPsec pour Linux) est <a href=
"http://www.xs4all.nl/~freeswan/" target=
"_top">http://www.xs4all.nl/~freeswan/</a> - c'est la solution de
VPN sous Linux conseill&eacute;e.</p>
<p>Un serveur PPTP Linux natif appel&eacute; PoPToP est disponible
&agrave; l'adresse <a href=
"http://www.moretonbay.com/vpn/pptp.html" target=
"_top">http://www.moretonbay.com/vpn/pptp.html</a> - pour les
informations les plus &agrave; jour sur PPTP sous Linux, allez
y.</p>
<p>Paul Cadach <a href="mailto:paul@odt.east.telecom.kz" target=
"_top">&lt;paul@odt.east.telecom.kz&gt;</a> a &eacute;crit des
patchs qui ajoutent au pppd de Linux le support MS-CHAP-v2, MPPE et
Multilink. Allez voir <a href=
"ftp://ftp.east.telecom.kz/pub/src/networking/ppp/ppp-2.3.5-my.tgz"
target=
"_top">ftp://ftp.east.telecom.kz/pub/src/networking/ppp/ppp-2.3.5-my.tgz</a>
pour MS-CHAP et MPPE, et <a href=
"ftp://ftp.east.telecom.kz/pub/src/networking/ppp/multilink/ppp-2.3.5-mp.tgz"
target=
"_top">ftp://ftp.east.telecom.kz/pub/src/networking/ppp/multilink/ppp-2.3.5-mp.tgz</a>
pour Multilink. Un autre ensemble de patchs (probablement
int&eacute;ressants) pour pppd est disponible sur le site de
t&eacute;l&eacute;chargement de PoPToP &agrave; l'adresse <a href=
"http://www.moretonbay.com/vpn/download_pptp.html" target=
"_top">http://www.moretonbay.com/vpn/download_pptp.html</a>.</p>
<p>Le site du projet original PPTP pour Linux est <a href=
"http://www.pdos.lcs.mit.edu/~cananian/Projects/PPTP" target=
"_top">http://www.pdos.lcs.mit.edu/~cananian/Projects/PPTP</a> et
un patch pour ajouter les fonctionnalit&eacute;s de serveur PPTP
est disponible &agrave; l'adresse <a href=
"http://debs.fuller.edu/cgi-bin/display?list=pptp=222" target=
"_top">http://debs.fuller.edu/cgi-bin/display?list=pptp=222</a></p>
<p>Merci &agrave; Eric Raymond de maintenir <a href=
"http://www.tuxedo.org/jargon/" target="_top">Le fichier du Jargon
(The Jargon File)</a>, et &agrave; Denis Howe de maintenir <a href=
"http://foldoc.doc.ic.ac.uk/" target="_top">Le dictionnaire en
ligne gratuit de l'informatique (The Free On-line Dictionary of
Computing)</a>.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN93" id="AEN93">Copyright mise en
garde</a></h3>
<p>Ce document est Coyright 1999-2000 par John D. Hardin. Vous avez
la permission de le redistribuer sous les termes de la licence LDP,
disponible &agrave; l'adresse <a href=
"http://www.linuxdoc.org/COPYRIGHT.html" target=
"_top">http://www.linuxdoc.org/COPYRIGHT.html</a></p>
<p>Les informations fournies dans ce document sont correctes dans
la limite de mon savoir. Le masquage IP est <span class=
"emphasis"><i class="EMPHASIS">exp&eacute;rimental</i></span>, et
il est possible que j'aie fait des erreurs en &eacute;crivant ou
testant le patch du noyau, ou encore en &eacute;crivant les
instructions dans ce document ; &agrave; vous de d&eacute;cider si
vous souhaitez effectuer les changements indiqu&eacute;s dans ce
document.</p>
<pre class="SCREEN">
<span class="emphasis"><i class=
"EMPHASIS">L'AUTEUR NE PEUT ETRE TENU RESPONSABLE POUR DES DEGATS CAUSES PAR DES
ACTIONS BASEES SUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT.
SAUVEGARDEZ TOUTES LES DONNEES CRITIQUES AVANT D'EFFECTUER LES 
CHANGEMENTS INDIQUES DANS CE DOCUMENT. ASSUREZ VOUS D'AVOIR UN NOYAU
QUI MARCHE, SUR LEQUEL VOUS POUVEZ DEMARRER, AVANT DE PATCHER ET
DE RECOMPILER VOTRE NOYAU COMME INDIQUE DANS CE DOCUMENT.</i></span> 
</pre>
En d'autres mots, prenez des pr&eacute;cautions.</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="AEN102" id="AEN102">Connaissances
requises</a></h2>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN104" id="AEN104">Qu'est-ce qu'un VPN
?</a></h3>
<p>Un <a href="http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?VPN"
target="_top">R&eacute;seau Priv&eacute; Virtuel (Virtual Private
Network)</a>, ou VPN, est un tunnel qui v&eacute;hicule le trafic
d'un r&eacute;seau priv&eacute; d'un syst&egrave;me terminal vers
un autre, en empruntant un r&eacute;seau public (comme l'internet),
sans que les interm&eacute;diaires entre les deux machines
terminales soient visibles du point de vue du trafic
v&eacute;hicul&eacute;, et sans que les &eacute;quipements
interm&eacute;diaires voient les paquets qui sont en train de
transiter dans le tunnel. Le tunnel peut en option compresser et/ou
crypter les donn&eacute;es, fournissant des performances accrues et
quelques mesures de s&eacute;curit&eacute;.</p>
<p>La partie Virtuelle vient du fait que vous construisez une
liaison priv&eacute;e au dessus d'un r&eacute;seau public,
plut&ocirc;t que d'acheter une liaison en dur sur une ligne
lou&eacute;e. Le VPN vous permet de consid&eacute;rer que vous
utilisez une ligne lou&eacute;e ou une ligne
t&eacute;l&eacute;phonique pour communiquer entre les deux points
terminaux.</p>
<p>Pour information, vous pouvez trouver la FAQ sur le VPN &agrave;
l'adresse <a href=
"http://kubarb.phsx.ukans.edu/~tbird/vpn/FAQ.html" target=
"_top">http://kubarb.phsx.ukans.edu/~tbird/vpn/FAQ.html</a>.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN111" id="AEN111">Qu'est-ce qu'IPsec
?</a></h3>
<p><span class="emphasis"><i class="EMPHASIS"><a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?IPsec" target=
"_top">IPsec</a></i></span> est un ensemble de protocoles standards
pour impl&eacute;menter des communications s&eacute;curis&eacute;es
ainsi que l'&eacute;change de cl&eacute;s de cryptage entre
ordinateurs. Il peut &ecirc;tre utilis&eacute; pour mettre en place
un VPN.</p>
<p>Un r&eacute;seau priv&eacute; virtuel IPsec consiste
g&eacute;n&eacute;ralement en deux canaux de communication entre
les machines terminales : un canal d'&eacute;change de cl&eacute;s,
par lequel les informations sur l'authentification et les
cl&eacute;s de cryptage transitent, et un ou plusieurs canaux de
donn&eacute;es par lesquels le trafic du r&eacute;seau priv&eacute;
est v&eacute;hicul&eacute;.</p>
<p>Le canal d'&eacute;change de cl&eacute;s est une connexion UDP
standard en provenance de et vers le port 500. Le canal de
donn&eacute;es transportant le trafic entre le client et le serveur
utilise le protocole IP num&eacute;ro 50 (ESP).</p>
<p>Vous pouvez trouver de plus amples informations dans la FAQ
IPsec de F-Secure, &agrave; l'adresse <a href=
"http://www.Europe.F-Secure.com/support/vpn+/faq/techfaq.html"
target=
"_top">http://www.Europe.F-Secure.com/support/vpn+/faq/techfaq.html</a>,
et dans les <a href=
"http://andrew2.andrew.cmu.edu/rfc/rfc2402.html" target=
"_top">RFC2402</a> (le protocole AH, protocole IP num&eacute;ro
51), <a href="http://andrew2.andrew.cmu.edu/rfc/rfc2406.html"
target="_top">RFC2406</a> (le protocole ESP, protocole IP
num&eacute;ro 50), et <a href=
"http://andrew2.andrew.cmu.edu/rfc/rfc2408.html" target=
"_top">RFC2408</a> (le protocole d'&eacute;change de cl&eacute;s
ISAKMP).</p>
<p>IPsec est un protocole de communication sym&eacute;trique.
Cependant, vu que la plupart des gens vont s'y trouver
confront&eacute; uniquement sous la forme d'un client Windows
acc&eacute;dant &agrave; une passerelle centrale de
s&eacute;curit&eacute; r&eacute;seau, le terme client va &ecirc;tre
utilis&eacute; pour d&eacute;signer la machine devant laquelle
l'utilisateur est assis, et le terme serveur va &ecirc;tre
utilis&eacute; pour d&eacute;signer la passerelle centrale de
s&eacute;curit&eacute; r&eacute;seau.</p>
<p>Note importante : si votre VPN est bas&eacute; sur le protocole
AH (y compris AH+ESP), il ne peut pas &ecirc;tre masqu&eacute;. Le
protocole AH utilise un contr&ocirc;leur d'int&eacute;grit&eacute;
cryptographique sur des parties de l'ent&ecirc;te IP, y compris
l'adresse IP. Le masquage IP modifie l'adresse source pour les
paquets sortants, et l'adresse destination pour les paquets
entrants. La passerelle de masquage ne pouvant pas participer
&agrave; l'&eacute;change de cl&eacute;s, elle ne peut pas
r&eacute;g&eacute;n&eacute;rer correctement les contr&ocirc;leurs
d'int&eacute;grit&eacute; cryptographiques pour les ent&ecirc;tes
IP modifi&eacute;s. Les paquets IP modifi&eacute;s seront donc
rejet&eacute;s par le destinataire comme des paquets invalides, car
ils ne passeront pas le test d'int&eacute;grit&eacute;
cryptographique.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN125" id="AEN125">Qu'est-ce que PPTP
?</a></h3>
<p><span class="emphasis"><i class="EMPHASIS"><a href=
"http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?PPTP" target=
"_top">PPTP</a></i></span> signifie <span class=
"emphasis"><i class="EMPHASIS">P</i></span>oint-to-<span class=
"emphasis"><i class="EMPHASIS">P</i></span>oint <span class=
"emphasis"><i class="EMPHASIS">T</i></span>unnelling <span class=
"emphasis"><i class="EMPHASIS">P</i></span>rotocol. C'est un
protocole propos&eacute; par Microsoft pour r&eacute;aliser un
VPN.</p>
<p>Le protocole VPN PPTP consiste en deux canaux de communication
entre le client et le serveur : un canal de contr&ocirc;le par
lequel les informations de gestion du lien transitent, et un canal
de donn&eacute;es par lequel le trafic (&eacute;ventuellement
crypt&eacute;) du r&eacute;seau priv&eacute; est
v&eacute;hicul&eacute;.</p>
<p>Le canal de contr&ocirc;le est une connexion TCP standard vers
le port 1723 du serveur. Le canal de donn&eacute;es
v&eacute;hiculant le trafic du r&eacute;seau priv&eacute; utilise
le protocole IP num&eacute;ro 47, un protocole d'encapsulation
g&eacute;n&eacute;rique d&eacute;crit dans le <a href=
"http://andrew2.andrew.cmu.edu/rfc/rfc1701.html" target=
"_top">RFC1701</a>. La transmission transparente des donn&eacute;es
sur le canal de donn&eacute;es est r&eacute;alis&eacute;e par la
n&eacute;gociation d'une connexion PPP standard sur ce canal,
simplement comme s'il s'agissait d'une connexion modem directement
du client vers le serveur. Les options n&eacute;goci&eacute;es sur
le tunnel via le protocole PPP contr&ocirc;lent si les
donn&eacute;es sont compress&eacute;es et/ou crypt&eacute;es, et
donc PPTP n'a rien &agrave; voir avec le cryptage.</p>
<p>Les d&eacute;tails du protocole PPTP sont document&eacute;s dans
le <a href="http://andrew2.andrew.cmu.edu/rfc/rfc2637.html" target=
"_top">RFC2637</a>.</p>
<p>L'impl&eacute;mentation du protocole PPTP par Microsoft n'est
pas consid&eacute;r&eacute;e comme tr&egrave;s
s&eacute;curis&eacute;e. Si vous &ecirc;tes
int&eacute;ress&eacute;s par les d&eacute;tails, voici trois
analyses diff&eacute;rentes :</p>
<p><a href="http://www.counterpane.com/pptp.html" target=
"_top">http://www.counterpane.com/pptp.html</a></p>
<p><a href="http://www.geek-girl.com/bugtraq/1999_1/0664.html"
target=
"_top">http://www.geek-girl.com/bugtraq/1999_1/0664.html</a></p>
<p><a href="http://oliver.efri.hr/~crv/security/bugs/NT/pptp2.html"
target=
"_top">http://oliver.efri.hr/~crv/security/bugs/NT/pptp2.html</a></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN146" id="AEN146">Qu'est-ce que FWZ
?</a></h3>
<p><span class="emphasis"><i class="EMPHASIS">FWZ</i></span> est un
protocole de cryptage propri&eacute;taire d&eacute;velopp&eacute;
par <a href="http://www.checkpoint.com/" target="_top">Check Point
Software Technologies</a>. Il est utilis&eacute; dans les VPNs qui
sont construits autour de leur produit Firewall-1.</p>
<p>Un pare-feu Checkpoint peut &ecirc;tre configur&eacute; avec
diff&eacute;rents modes. Le mode d' encapsulation FWZ <span class=
"emphasis"><i class="EMPHASIS">ne peut pas</i></span> &ecirc;tre
masqu&eacute;. Le mode IKE, qui utilise les protocoles standards
IPsec, peut &ecirc;tre masqu&eacute; avec des changements de
configuration minimes sur la passerelle VPN.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN153" id="AEN153">Pourquoi masquer un
client VPN ?</a></h3>
<p>La plupart des clients VPN actuels partent du principe que vous
allez connecter l'ordinateur client directement &agrave; internet.
Faire cela lorsque vous n'avez qu'une seule connexion
d'acc&egrave;s internet contourne votre pare-feu Linux, la
s&eacute;curit&eacute;, ainsi que les capacit&eacute;s de partage
d'acc&egrave;s qu'il fournit. &Eacute;tendre le pare-feu Linux pour
aussi masquer le trafic VPN vous permet de conserver la
s&eacute;curit&eacute; pare-feu fournie par le pare-feu Linux,
ainsi que d'autoriser d'autres syst&egrave;mes de votre
r&eacute;seau local &agrave; acc&eacute;der &agrave; internet, sans
avoir &agrave; prendre en compte le fait que la connexion VPN soit
active ou non.</p>
<p>Si votre pare-feu est utilis&eacute; en environnement
professionnel, vous pouvez &eacute;galement souhaiter imposer aux
utilisateurs clients du VPN de traverser ce pare-feu pour des
raisons de s&eacute;curit&eacute;, plut&ocirc;t que de leur fournir
des modems pour qu'ils puissent se connecter tout seuls &agrave;
l'ext&eacute;rieur quand ils ont besoin d'utiliser le VPN. Le
masquage VPN vous permet de le faire m&ecirc;me si les machines
clientes n'ont pas des adresses IP publiques.</p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN157" id="AEN157">Plusieurs clients
sur mon r&eacute;seau local peuvent-ils utiliser IPsec
simultan&eacute;ment ?</a></h3>
<p>Oui, bien qu'il puisse y avoir parfois quelques probl&egrave;mes
mineurs.</p>
<p>Les protocoles IPsec d&eacute;finissent une m&eacute;thode pour
identifier les flux de trafic appel&eacute;e <span class=
"emphasis"><i class="EMPHASIS">Index des Param&egrave;tres de
S&eacute;curit&eacute; (Security Parameters Index)</i></span>
(SPI). Malheureusement le SPI utilis&eacute; pour le trafic sortant
est diff&eacute;rent du SPI utilis&eacute; pour le trafic entrant,
et il n'y a pas d'autre information permettant l'identification qui
ne soit pas crypt&eacute;e, donc l'association entre le flux
entrant et le flux sortant est difficile et pas parfaitement
fiable.</p>
<p>Le masquage IPsec tente d'associer les trafics ESP entrant et
sortant en mettant en s&eacute;rie les nouvelles connexions. Alors
que ceci fonctionne bien pendant les tests, on ne peut pas garantir
que ce soit parfaitement fiable, et la s&eacute;rialisation des
nouveaux trafics peut aboutir &agrave; des fins d'attente
(timeouts) si la liaison est satur&eacute;e ou si plusieurs
machines locales faisant de l'IPsec tentent d'initier des
communications ou de r&eacute;&eacute;changer leurs cl&eacute;s
simultan&eacute;ment, avec la m&ecirc;me machine distante faisant
de l'IPsec.</p>
<p>Il est &eacute;galement reconnu que ce sch&eacute;ma associatif
peut ne pas arriver &agrave; associer les flux de trafic
correctement, les machines faisant de l'IPsec ne vont alors pas
prendre en compte le trafic mal dirig&eacute;, car il aura de
mauvaises valeurs SPI. Ce comportement est requis par le RFC sur
IPsec.</p>
<p>Ces probl&egrave;mes auraient pu &ecirc;tre supprim&eacute;s
s'il y avait eu un moyen d'&eacute;couter les nouvelles valeurs SPI
provenant de l'&eacute;change de cl&eacute;s ISAKMP avant que le
moindre trafic ESP n'apparaisse, mais malheureusement cette partie
de l'&eacute;change de cl&eacute;s est crypt&eacute;e.</p>
<p>Afin de minimiser les probl&egrave;mes associ&eacute;s &agrave;
cela, il est recommand&eacute; d'ouvrir une fen&ecirc;tre de
commandes sur votre machine IPsec masqu&eacute;e, et de lancer le
programme ping vers une machine du r&eacute;seau distant pour
maintenir le tunnel actif.</p>
<p>Regardez les notes techniques sur IPsec &agrave; la fin du
document pour de plus amples d&eacute;tails.</p>
<p><a name="multiclientpptp" id="multiclientpptp"></a></p>
</div>
<div class="SECT2">
<hr>
<h3 class="SECT2"><a name="AEN169" id="AEN169"></a></h3>
</div>
</div>
</div>
</body>
</html>