Les Réseaux VPN

22
L L e e s s R R é é s s e e a a u u x x V V P P N N réalisée par: wahiba el malki hasnaa bellouk kaltoum ramouli encadré par: Mr.elhanine

Transcript of Les Réseaux VPN

Les Rseaux VPN

ralise par: wahiba el malki hasnaa bellouk kaltoum ramouli encadr par: Mr.elhanine

I-Introduction aux VPN:A-les rseaux privs B-Rseau priv virtuel C- Cas d'utilisation D-Prsentation des termes II-Les alternatives : Tunnels et VPN dit>: A-Tunnels et VPN Lgers B-Encapsulation de protocoles C-Combiner les deux solutions D-VPN sous Ms Windows III-IPSec : Prsentation globale : A-Prsentation B-Dtails du protocole IV-Gestion des clefs IPSec: A-Les diffrents types de clefs B-PKI Public Key Infrastructure C-Echange de clefs et authentification D-IKE V-Conclusion

I-Introduction aux VPNs: Indniablement, internet est rentr dans nos meurs. A travers, ce rseau informatique, tout un monde parallle s'est dvelopp : des sites marchands ont fleuris, les services pour les particuliers comme les guides d'itinraire pour nos voyages nous simplifient bien la vie. Enfin on en vient a changer des donnes travers des programmes d'change de fichiers et chater entre internautes. Nous retiendrons de tout a qu'Internet est un vritable outil de communication. Dmod par sa technique, internet n'a pas su voluer dans l'utilisation de ses protocoles, la plupart des protocoles utiliss ont plusieurs annes d'existence et certains n'ont pas t cre dans une optique ou le rseau prendrait une tel envergure. Les mots de passe traversent ainsi les rseaux en clair, et l o transitent des applications de plus en plus critiques sur le rseau, la scurit, elle, peu volu.Quand on parle de scurit, c'est en faisant rfrence aux pirates, virus, vers, cheval de Troie, etc ... Ils profitent de failles des protocoles, du systme, mais surtout du faite que le rseau n'tait pas dvelopp dans une optique scurit .Internet dans ce contexte l n'a pas la vocation d'tre une zone scurise. La plupart des donnes y circule nue. On alors recours des algorithmes de cryptage, pour garder nos donnes confidentielles. A - Les rseaux privs: Couramment utiliss dans les entreprises, les rseaux privs entreposent souvent des donnes confidentielles l'intrieur de l'entreprise. De plus en plus, pour des raisons d'interoprabilit, on y utilise les mmes protocoles que ceux utiliss dans l'Internet. On appelle alors ces rseaux privs intranet . Y sont stocks des serveurs propres l'entreprise : portails, serveurs de partage de donnes, etc ...

Pour garantir cette confidentialit, le rseau priv est coup logiquement du rseau internet. En gnral, les machines se trouvant l'extrieur du rseau priv ne peut accder celuici. L'inverse n'tant pas forcment vrai.L'utilisateur au sein d'un rseau priv pourra accder au rseau internet. B - Rseau priv virtuel Le but d'un rseau priv virtuel (Virtual Private Network ou VPN) est de fournir aux utilisateurs et administrateurs du systme d'information des conditions d'exploitation, d'utilisation et de scurit travers un rseau public identiques celles disponibles sur un rseau prive . En d'autre terme, on veut regrouper des rseaux privs, spar par un rseau public (internet) en donnant l'illusion pour l'utilisateur qu'ils ne sont pas spars, et toute en gardant l'aspect scuris qui tait assur par de la coupure logique au rseau internet. C - Cas d'utilisation On peut trouver plusieurs cas d'utilisation d'un VPN dont : Le Tltravail. Il existe des entreprises sans locaux, ou les employs travaillent chez eux. Quand ce type de travail est possible, pourquoi dpenser plus pour des locaux, des problmes de transport, etc ... ? Le VPN apporte la possibilit pour tous ses employs de travailler sur un mme rseau priv virtuel. Il doit alors videment disposer d'une connexion internet qui lui permet de travailler distance, et d'utiliser les diffrents services du rseau, et mme exploiter des outils de travail collaboratif. Connexion de sites distants. Pour en entreprise possdant plusieurs sites, il est parfois avantageux de les relier. Une premire solution serait d'utiliser une LS. Mais cette solution un coup, et le VPN ne cote pas plus que 2 connexion d'accs internet.

D - Prsentation des termes Le VPN est ne reprsente donc qu'un concept, derrire lui, plusieurs implmentations ont vu le jour, selon, l'utilisation que l'on veut en faire, le niveau de scurit, la taille du rseau, etc ... Plusieurs moyens techniques peuvent tre utiliss et coupls pour mettre en oeuvre des VPN : le chiffrement, l'authentification, le contrle d'intgrit et les tunnels. Chiffrement. Utilis pour que les donnes traversant le rseau ne puisse pas tre lu par une autre personne. On utilise pour cela notre baguage mathmatique et surtout arithmtique. Les deux principaux type de cryptage utiliss sont : le chiffrement asymtrique et symtrique. Le chiffrage symtrique utilis la mme cl pour chiffrer et pour dchiffrer. L'inconvnient, est clair : chaque partie de la communication devra avoir la mme cl, et la communiquer la partie adverse sans que les autres puisses le rcuprer. Plusieurs algorithmes de cryptage peuvent tre utiliss : DES, AES, RC4/5. Le cryptage asymtrique n'a pas cette inconvnient la : deux cls sont utilises : une cl publique et une cl prive. La cl public est disponible par tout le monde. Elle sert a crypter des donnes. Si on veut communiquer avec un autre, on doit rcuprer sa cl publique et seul lui pourra la dcrypter avec sa cl priv. Bien sur le cryptage et le dcryptage se font de manire prcise suivant la mthode utilis. Le chiffrement est utilis dans le contexte du VPN pour garantir la confidentialit des donnes circulant sur le rseau publique. En effet, le rseau priv n'est que virtuellement coup du rseau publique. Authentification : On veut garantir qu'a chaque instant de la communication, on parle au bon interlocuteur. Dans le cadre

du VPN, on parle des deux passerelles qui sont spar par internet. Contrle d'intgrit : il garantit que les donnes transmit entre les interlocuteur n'ont pas t modifi. Tunnel : le tunnel consiste tablir un canal entre 2 points sans ce soucier des problmatique d'interconnexion (de faon transparente). Nous verrons plus en dtail cet aspect important du VPN. Finalement il n'y a pas qu'une seule faon de dployer un VPN : Dans la plupart des cas, le protocole IPSec est utilis. Mais il n'est pas le seul. Les spcifications de votre VPN dpendra aussi de l'utilisation que vous allez en faire. C'est pourquoi nous allons dans les chapitres venir, voir un aperu des diffrents solutions existantes en parcourant quelques exemples de tunnel et VPN dit lgers , et enfin nous tudierons plus en dtail le protocole IPSec et son dploiement dans un environnement GNU/Linux.

II-Les alternatives: Tunnels et VPN dit lgerA - Tunnels et VPN Lgers: Le tunnel est une composante indispensable des VPN ; la problmatique est la suivante : on veut relier deux rseaux privs qui sont spars par un rseau publique (internet) de faon transparente pour l'utilisateur. L'utilisateur utilisera ainsi des interfaces rseaux virtuel et aura l'illusion de discuter directement avec le rseau qui se trouve, en fait, de l'autre cot d'Internet. La solution technique utilise, dans la plupart des cas, pour mettre en oeuvre des tunnels est l'encapsulation de protocole. Technique dj utilise par nos fournisseur d'accs internet, elle sera utilis dans pas mal de VPN, mais la diffrence de nos FAI, l'encapsulation masquera le rseau internet (au lieu du rseau priv du provider). Une autre technique utilis, est le forwarding de port. Le concept du tunnel ne sous entend rien concernant le chiffrement ; l'essentiel est de garantir la transparence de la communication entre les 2 rseaux qui ne sont pas directement interconnects.

Illustration 1: Tunnel interconnectant le rseau sous rseau A au sous rseau B travers le rseau Internet

C - Encapsulation de protocoles: Les protocoles rseaux permettent de transporter des donnes travers les rseaux. Et pourquoi se donnes ne serait pas d'autre paquet rseau qui transporte eux mme l'information ? Pourquoi faire ? On se trouve dans la problmatique ou on veut crer des tunnels, et on veut donner l'illusion l'utilisateur qu'il discute directement avec le rseau adverse alors qu'en fait il passe par internet. L'ide de l'encapsulation : l'utilisateur va envoyer des informations travers une interface rseau virtuel, ces paquets seront encapsuls et transporter travers un autre rseau puis dcapsul sur le rseau adverse derrire une autre interface virtuelle. Voici quelques exemple de solution utilisant l'encapsulation de protocole : 1 - Ip sur ip: Les tunnels IP sur IP encapsule les paquets IP sur des paquets IP. Ce type de tunnel peut servir relier deux rseaux non connect mais relier internet. L'intrt, comme dans plupart des tunnels, est de crer une interface rseau virtuel qui accdera virtuellement et directement au rseau adverse. Les paquets utiliss dans cette interface virtuel sera encapsul. 2 - IP sur GRE (Generic Routing Encapsulation): GRE est un protocole dvelopp par Cisco. Le protocole intgre la notion d'encapsulation de protocole. Il permet ainsi de supporter plusieurs types de protocoles pour les transporter sur de l'IP. Il est dfini par la RFC 2784. D - Combiner les deux solutions: PPPD est un dmon qui permet d'injecter du trafic au niveau 3 de la couche ISO et les faires transiter travers un tunnel. On peut galement spcifier au dmon, les programmes sur lequel le tunnel va transiter. Grce cette fonctionnalit, il est alors possible d'utiliser ssh ou tunnel et bnficier de leurs avantage (authentification, certificat, etc ...).

E - VPN sous Ms Windows: Par dfaut dans tous les Windows, est disponible la solution PPTP (Point to Point Tunneling Protocol) qui permet de dployer des VPN. PPTP encapsule du PPP sur du GRE. Il est gnralement coupl avec MSCHAP pour l'authentification. F - Autres solutions Bien d'autres solutions existent, comme CIPS, ou TUN/TAP. Nanmoins nous n'en parlerons pas plus dans cette article. Nous avons vu que les VPN peuvent tre dployer par des moyens assez divers. Nanmoins les VPN majoritairement utilis pour travers le rseau internet qui repose sur IP. IPSec, propose des solutions robustes bases sur la version 4 et intgr dans la version 6 du protocole. Voyons IPSec de plus prs.

III- IPSec :Prsentation globaleA Prsentation 1 Gnralits IPSec (Internet Protocol Security) a t conu pour scuriser les communications rseau partir de la couche 3 du modle OSI. Il a t conus de manire tre support par Ipv4 et a t intgr dans le protocole Ipv6. IPSec n'est pas un remplaant d'IP mais un complment. Ainsi, il intgre des notions essentielle de scurit au datagramme IP qui en assureront l'authenticit1, l'authentification2 et le cryptage3. Pour cela, il fait largement usage de cl de sessions (voir 4.1.Types de clefs) Sa position dans les couche basse du modle OSI lui permet donc de scuriser tous type d'applications et protocoles rseaux base sur IP sans distinction. IPSec est trs largement utilis pour le dploiement de rseau VPN travers Internet petite et grande chelle. 2 - Aspects technique IPSec est bas sur 2 mcanismes diffrents assurant les rles de scurisation des donnes : AH (Authentification header) et ESP (Encapsuling Security Payload). IPSec est largement configurable. Ainsi, chacun des deux mcanismes AH et ESP peuvent tre utiliss seuls ou combins avec le second afin de dfinir le niveau de scurit voulu. De plus, il est possible d'indiquer les algorithmes de hachage ou d'encrytion voulu lors d'une communication. Les cls de session sont de type symtrique (dfinition manuelles des cls) ou asymtrique (gnration automatique des cls). Voir : 3. La gestion des clefs 1- L'authenticit des donnes permet d'as surer que les donnes reues sont strictement identiques celles mise. 2- L'uathentification permet d'sasurer que l'metteur des donnes est bien celui qu' ipl rtend tre.

3- Le cryptage permet d'as surer que les donnes transmise ne seront ni lue ni copier par une tierce personne durant leur acheminement. B - Dtails du protocole Le mcanisme interne d'IPSec est complexe. Le fait que ce protocole soit hautement configurable introduit des notions de gestion et configuration inconnues du monde IP. 1 - Gestion des flux IPSec Les flux IPSec sont gr unidirectionnellement. Ainsi, une communication bidirectionnelle entre deux machine utilisant IPSec sera dfinie par diverse processus pour chacun des sens de communication. Les procds dtaill ci-dessous respectent tout deux cette lois a) Security Policy Une SP dfini ce qui doit tre trait sur un flux. Comment nous voulons transformer un paquet. Il y sera indiqu pour un flux donn : Les adresses IP de l'metteur et du rcepteur (unicast, mulitcast ou broadcast); Par quel protocole il devra tre trait (AH ou ESP) ; Le mode IPSec utiliser (tunnel ou transport) ;. Le sens de la liaison (entrante ou sortante) ; Notons qu'une SP ne dfini qu'un protocole de traitement la fois. Pour utiliser AH ET ESP sur une communication, deux SP devront tre cre. b) Security Association Une SA dfini comment sera trait le paquet en fonction de sa SP associe. Elle ne sont que la "ralisation" des SP. Elle

possde l'ensemble des proprits de la liaison. Ainsi, elle sera reprsente par une structure de donne contenant les informations suivantes : Un compteur permettant de gnrer les numros de squence des enttes AH et ESP ; Un flag (drapeau) permettant d'avertir qu'en cas de dpassement du compteur prcdemment dcrit, on doit interrompre la communication ; Une fentre d'anti rptition dans laquelle doit tomber le prochain numros de squence Information sur l'AH : algorithme d'authentification, clefs, dure de bie, etc ; Information sur l'ESP : algorithme d'authentification et de chiffrement, clefs, etc Mode IPSec : tunnel ou transport ; Dure de vie de la SA ; MTU. Nous dtaillerons les modes d'IPSec dans le prochain chapitre. Une SA est identifie un seul et unique flux unidirectionnel grce trois champs : L'adresse IP de destination (unicast, multicast ou broadcast); Le protocole utilis, AH ou ESP ; Le SPI (Security Parameter Index). c) Bases de donnes SPD et SAD Tout systme implmentant IPSec possde donc 2 bases de donne distinctes dans laquelle ils stockent leurs SP (ici, SPDatabase) et leurs SA (ici, SADatabase).

La SPD dfini donc le traitement de chaque type de trafic entrant ou sortant, en fonction des metteurs /rcepteurs, selon trois type : DISCARD, dans ce cas celui-ci sera tout simplement jet. Il n'est pas autoris sortir de la passerelle ni la traverser ni tre dlivr une quelconque application. BYPASS IPSEC laisse passer le trafic sans traitement IPSec. APPLY IPSEC signifie que des services IPSec sont appliquer ce trafic Pour chaque trafic soumis des services IPSec, la base SPD possde une rfrence vers la SA correspondante dans la base SAD. Si cette entrs n'est pas dfinie, dans le cas d'une gestion dynamique des cls, celle-ci sera alors cre en accord avec la configuration dfinie par l'administrateur. 2 - Modes d' IPSec Il existe deux modes d'utilisation d'IPSec : le mode transport et le mode tunnel. La gnration des datagrammes sera diffrente selon le mode utilis. a) Mode Transport Ce mode est utilis pour crer une communication entre deux htes qui supportent IPSec. Une SA est tablie entre les deux htes. Les enttes IP ne sont pas modifies et les protocoles AH et ESP sont intgrs entre cette entte et l'entte du protocole transport. Ce mode est souvent utiliser pour scuriser une connexion Point-To-Point.

b) Mode Tunnel Ce mode est utiliser pour encapsuler les datagrammes IP dans IPSec. La SA est applique sur un tunnel IP.Ainsi, les enttes IP originales ne sont pas modifie et un entte propre IPSec est cre. Ce mode est souvent utilis pour crer des tunnels entre rseaux LAN distant. Effectivement, il permet de relier deux passerelle tant capable d'utiliser IPSec sans perturber le trafic IP des machines du rseau qui ne sont donc pas forcment prte utiliser le protocole IPSec. 3 - Dtails des protocoles ajouts Nous verrons que certains champs sont prsent dans les deux protocoles AH et ESP. En cas d'utilisation des deux protocoles pour un mme flux de donne, il n'y aura cependant pas redondance d'information. Effectivement, il faut garder l'esprit que AH et ESP seront gr sparment par des SA diffrents. AH et ESP sont deux protocoles utilisant des cls des sessions utiles leurs traitement sur le datagramme IP. a) En-tte AH AH permet une scurisation du maximum de donnes du datagramme IP en assurant l'intgrit des donnes et leur authentification. Toutes les donnes ne pourront tre scurise pour une raison simple : certain champs dans les enttes sont variables et donc de nature non prdictible. Ces champs pourront donc pas tre considr comme sr, ce qui en fait le talon d'achille d'AH. En revanche, il ajoute tout de mme un contrle contre les rptition et de d'intgrit des donnes sur un mode non connect (couche IP).

b) Champs ESP ESP permet la scurisation des donnes du datagramme IP par le chiffrement (confidentialit), l'intgrit et l'authentification des donnes. En mode transport, seuls les donnes transportes par le datagramme seront protge, en mode tunnels, ce sera l'intgralit du datagramme qui sera protg .L'authentification et l'intgrit des donnes sont assurs par les mme mcanismes que pour AH.

IV -Gestion des cleffs IPSec:A - Les diffrents types de clefs Clefs de chiffrement de clefs Ces clefs sont utilises afin de chiffrer d'autres clefs et ont gnralement une dure de vie longue. Les clefs tant des valeurs alatoires, l'utilisation d'autres clefs pour les chiffrer rend les attaques par cryptanalyse (tentatives de dchiffrement du message) plus difficiles leur niveau. La cryptographie clef publique est souvent utilise pour le transport de clefs, en chiffrant la clef transporter l'aide d'une clef publique. Clefs matresses Les clefs matresses sont des clefs qui ne servent pas chiffrer mais uniquement gnrer d'autres clefs par drivation. Une clef matresse peut ainsi tre utilise, par exemple, pour gnrer deux clefs : une pour le chiffrement et une pour la signature. Clefs de session ou de chiffrement de donnes Ces clefs, contrairement aux prcdentes, servent chiffrer des donnes. B - PKI - Public Key Infrastructure De nombreuses applications et protocoles utilisent le cryptage chef publiques sur d'importants rseaux. Il est ncessaire de pouvoir grer dans ce cas un nombre important de clefs publiques. Pour cela, on a recours des Infrastructures Clefs Publiques, ou PKI (Public Key Infrastructure). Ces infrastructures se basent gnralement sur des autorits de certification (CA : Certificate Authorities), qui garantissent l'authenticit des

clefs publiques et permettent une gestion hirarchise de celles-ci C - Echange de clefs et authentification La premire tape lors de l'tablissement d'une communication scurise, est l'authentification des interlocuteurs. Ensuite, un change de clef permet l'utilisation d'un mcanisme de scurisation des changes : l'authentification est ainsi tendue la suite de la communication (L'change de clef devant bien sur tre authentifi). 1 - Les mcanismes de scurisation des changes Le Perfect Forward Secrecy (PFS) est assure par une rengociation rgulire des clefs. Dans le cas ou un attaquant intercepterait et dchiffrerait une clef de session, celle ci serait probablement dj prime avant qu'il puisse l'utiliser. L'Identity Protection, ou protection de l'identit, est respecte si un message intercept ne permet pas de dterminer l'identit des tiers communiquant. Le Back Traffic Protection consiste en une gnration de nouvelles clefs de sessions sans utilisation de clefs matresses. Les nouvelles clefs tant indpendantes des clefs prcdentes, la dcouverte d'une clef de session ne permet ni de retrouver les clefs de session passes ni d'en dduire les clefs venir. 2 - Algorithme de Diffie-Hellman Invent en 1976 par Diffie et Hellman, ce protocole permet deux tiers de gnrer un secret partag sans avoir aucune information pralable l'un sur l'autre. Il est bas sur un mcanisme de cryptage clef publique, et fait donc intervenir les valeurs publiques et prives des tiers. Le secret gnr l'aide de ce protocole peut ensuite tre utilis pour driver une ou plusieurs clefs (clef secrte, clef de chiffrement de clefs...).

D - IKE IKE (Internet Key Exchange) est un systme dvelopp spcifiquement pour IPsec qui vise fournir des mcanismes d'authentification et d'change de clef adapts l'ensemble des situations qui peuvent se prsenter sur l'Internet. IKE comprend quatre modes : le mode principal (Main Mode), le mode agressif (Aggressive Mode), le mode rapide (Quick Mode) et le mode nouveau groupe (New Group Mode).Main Mode et Aggressive Mode sont utiliss durant la phase 1, et sont dtaills ci dessous. Quick Mode, quand lui, est un change de phase 2, dtaill en 4.4.2.2. New Group Mode sert se mettre d'accord sur un nouveau groupe pour de futurs changes a) Phase 1 Les attributs suivants sont utiliss par IKE et ngocis durant la phase 1 : un algorithme de chiffrement, une fonction de hachage, une mthode d'authentification et un groupe pour Diffie-Hellman. Trois clefs sont gnres l'issue de la phase 1 : une pour le chiffrement, une pour l'authentification et une pour la drivation d'autres clefs. Ces clefs dpendent des cookies, des alas changs et des valeurs publiques DiffieHellman ou du secret partag pralable. Leur calcul fait intervenir la fonction de hachage choisie pour la SA ISAKMP et dpend du mode d'authentification choisi. Main mode Compos de six messages, Main Mode est une instance de l'change ISAKMP Identity Protection Exchange :

Les deux premiers messages servent ngocier les paramtres IKE : algorithme de chiffrement, fonction de hachage, mthode d'authentification des tiers et groupe pour Diffie-Hellman..

Les quatre mthodes d'authentification possibles sont la signature numrique, deux formes d'authentification par chiffrement clef publique et l'utilisation d'un secret partag pralable. Les deux seconds messages permettent l'tablissement d'un secret partag via l'utilisation du protocole. Diffie-Hellman.

Le secret partag sert driver des clefs de session, deux d'entre elles tant utilises pour protger la suite des changes avec les algorithmes de chiffrement et de hachage ngocis prcdemment.Les deux derniers messages servent l'authentification des changes et notamment des valeurs publiques.

Agressive mode Aggressive Mode est une instance de l'change ISAKMP Aggressive Exchange : il combine les changes dcrits cidessus pour Main Mode de faon ramener le nombre total de messages trois. Dans les deux cas, la mthode choisie pour l'authentification influence le contenu des messages et la mthode de gnration de la clef de session. Les quatre

mthodes d'authentification possibles sont la signature numrique, deux formes d'authentification par chiffrement clef publique et l'utilisation d'un secret partag pralable. b) Phase 2 : Quick Mode Les messages changs durant la phase 2 sont protgs en authenticit et en confidentialit grce aux lments ngocis durant la phase 1. L'authenticit des messages est assure par l'ajout d'un bloc HASH aprs l'en-tte ISAKMP, et la confidentialit est assure par le chiffrement de l'ensemble des blocs du message. Quick Mode est utilis pour la ngociation de SA pour des protocoles de scurit donns comme IPsec. Chaque ngociation aboutit en fait deux SA, une dans chaque sens de la communication. Durant cette phase, il s'agit de : Ngocier les paramtres IPSec ; Gnrer une nouvelle clef drive de celle ngocie en phase 1 grace au protocole Diffie- Hellman. (si on prend on compte les mcanismes de scurisation des changes tels que PFS Perfect Forward Secrecy, ou le Back trafic Protection cus plus hauts, il peut y avoir d'autres changes tels qu'une nouvelle ngociation Diffie-Hellman..) ; Identifier le trafic que les SA ngocies protgeront.

b)

Synthse de la ngociation IKE

1 - Configuration d'IPSec Pour pouvoir utiliser et configurer correctement IPSec il nous faudra utiliser un outil spcifique qui aura pour rle l'interface entre l'administration et le noyau. Utilisant un systme Debian pour la maquette j'ai pu installer cet outil avec la commande suivante : # apt-get install ipsec-tools 2 - Configuration d'IKE Pour pouvoir utiliser IPSec avec une gestion d'change dynamique des cl, nous devons installer un serveur qui tiendra ce rle. Le serveur que nous allons utiliser s'appelle "racoon" et est directement intgr dans ipsec-tools. 3 - Configuration rseau Pour notre maquette nous avons d simuler des rseaux locaux (172.16.0.0/16 et 172.15.0.0/16) utilisant les interfaces relles de nos machines comme des passerelles de communication pour leurs change. Ces deux interfaces (eth0) seront donc les points d'entrs dans notre tunnels IPSec. Pour cela, nous avons donc configur des interfaces virtuelles sur chaque machine avec la commande suivante :Sur la premire machine :# ifconfig eth0:1 172.16.0.0 netmask 255.255.0.0 route add -net 172.15.0.0 netmask 255.255.0.0 gw 192.168.0.2 Sur la seconde : # ifconfig eth0:1 172.15.0.0 netmask 255.255.0.0 route add -net 172.16.0.0 netmask 255.255.0.0 gw 192.168.0.10

VI- ConclusionA travers ce dossier, nous avons vu un aperu des diffrentes possibilits afin de dployer un VPN, et particulirement la solution que reprsente IPSec. Nous avions en effet pour objectif de vous donner les concepts qui tournes autour de cette solution et de vous montrer un exemple de dploiement. Mais galement que le terme de VPN ne se rfrenait pas qu'a la solution IPSec. Certes cette solution est la plus utilise et est une rfrence. Mais le VPN est avant tout un concept et ne prcise rien concernant ses moyens. Ainsi s'achve notre tude sur les VPNs. On se rend compte que derrire ce concept, une multitude de protocoles, techniques et architectures existent pour leur dploiement. Nanmoins, le choix d'une solution pour votre VPN dpendra videment de l'utilisation que vous en ferez et de l'investissement financier que vous y mettrez.