10.8. Sécurité réseau
La sécurité du réseau devient de plus en plus importante, au fur et à mesure que les utilisateurs passent de plus en plus de temps connectés. Violer la sécurité du réseau est souvent beaucoup plus facile que violer la sécurité physique ou locale, tout en étant beaucoup plus répandue.
Il y a plusieurs bons outils pour vous assister dans la sécurité du réseau, et ils sont de plus en plus fournis avec les distributions GNU/Linux.
10.8.1. Renifleurs de paquets (Packet Sniffers)
Une des manières les plus répandues parmi les intrus pour obtenir l'accès à plus de systèmes sur votre réseau, est d'employer un renifleur de paquets sur un hôte déjà violé. Ce sniffer écoute simplement sur les ports Ethernet et repère des choses comme passwd, login ou su dans le corps du paquet et enregistre alors le trafic qui suit. De cette façon, les attaquants obtiennent des mots de passe pour des systèmes qu'ils n'essayent même pas de casser. Les mots de passe en clair sont évidemment très vulnérables à cette attaque.
Exemple : Un hôte A a été violé. L'attaquant y installe un sniffer. Ce dernier tombe sur l'administrateur en train de se connecter de l'hôte B à l'hôte C. Il obtient alors le mot de passe personnel de l'administrateur sur B. Puis l'administrateur fait un su pour corriger un problème. Il a maintenant le mot de passe de root pour l'hôte B. Plus tard, l'administrateur laisse quelqu'un faire un telnet depuis sa machine vers l'hôte Z sur un autre site, L'attaquant possède désormais un login et mot de passe sur Z...
A l'heure actuelle, les attaquants n'ont même pas besoin de violer un système pour faire cela : Ils peuvent aussi amener un portable ou un PC dans un bâtiment et se brancher sur votre réseau.
Utiliser ssh ou une autre méthode pour crypter les mots de passe déjoue cette attaque. Des outils comme comptes APOP au lieu de POP pour le courrier électronique préviennent aussi ces attaques. (Les login normaux POP sont très vulnérables à cela, de même que tout ce qui envoie des mots de passe en clair à travers le réseau.)
10.8.2. Services système et encapsuleurs tcp
Avant que vous ne connectiez votre système GNU/Linux sur un QUELCONQUE réseau, la première chose à déterminer est les services que vous souhaitez offrir. Les services que vous n'avez pas besoin d'offrir devraient être désactivés de sorte que vous aurez moins de choses pour lesquelles vous préoccuper et les attaquants auront moins de chances de pouvoir trouver un trou.
Il y a plusieurs façons de désactiver des services sous GNU/Linux. Vous pouvez regarder le fichier /etc/inetd.conf et noter les fichiers qui sont offerts par inetd. Désactivez tous ceux dont vous n'avez pas besoin en les commentant (# au début de la ligne), et redémarrez alors votre service inetd.
Vous pouvez aussi supprimer (ou commenter) des services dans votre fichier /etc/services. Cela signifiera que les clients locaux seront aussi incapables de trouver ces services (i.e., si vous supprimez ftp, et essayez de faire une connexion FTP vers un site distant depuis cette machine, cela échouera avec un message service inconnu). Cela ne vaut généralement pas la peine de supprimer les services à partir de /etc/services, vu que cela ne fournit pas de sécurité supplémentaire. Si un utilisateur veut utiliser ftp même si vous l'avez commenté, il pourrait faire son propre client qui utilise le port FTP standard, et cela fonctionnerait.
Certains des services que vous pourriez souhaiter activer sont :
ftp
telnet (ou ssh)
courrier électronique, comme pop-3 ou imap
identd
Si vous savez que vous n'allez pas utiliser un paquetage en particulier, vous pouvez aussi le supprimer complètement. rpm -e packagename effacera un paquetage entier.
De plus, vous devriez vraiment désactiver les utilitaires rsh/rlogin/rcp, y inclus login (utilisé par rlogin), shell (utilisé par rcp),et exec (utilisé par rsh) depuis /etc/inetd.conf. Ces protocoles sont extrêmement vulnérables et ont été la cause de violations dans le passé.
Vous devriez vérifier les répertoires /etc/rc.d/rc[0-9].d, et regarder si des serveurs présent ne sont pas superflu. Les fichiers de ces répertoires sont en fait des liens symboliques vers des fichiers de /etc/rc.d/init.d. Renommez ces fichiers dans init.d désactive tous les liens symboliques qui pointent vers ce fichier. Si vous ne souhaitez désactiver un service que pour un niveau d'exécution (runlevel) particulier, renommez le lien symbolique approprié en remplaçant le S avec un K, comme cela :
root# cd /etc/rc6.d
root# mv S45dhcpd K45dhcpd |
 | Vous pouvez aussi utiliser un petit utilitaire pour faire cela : chkconfig ou l'interface graphique sous KDE : ksysv. |
Votre distribution de Mandrake Linux est fournie avec un encapsuleurs (wrapper) TCP « encapsulant » tous vos services TCP. L'encapsuleur TCP (tcpd) est appelé depuis inetd au lieu du service réel. tcpd vérifie alors l'hôte demandant le service, et soit exécute le vrai serveur, soit refuse l'accès à cet hôte. tcpd vous permet de restreindre l'accès aux services TCP. Vous devriez éditer /etc/hosts.allow et y ajouter uniquement les hôtes qui ont besoin d'avoir accès aux services de votre machine.
Si vous possédez une connexion par simple modem, nous vous suggérons de refuser tous (ALL). tcpd enregistre aussi les tentatives échouées pour accéder aux services, de sorte que cela peut vous alerter si on est en train de vous attaquer. Si vous ajoutez de nouveaux services, vous devriez vous assurer de les configurer pour utiliser l'encapsuleur TCP s'ils sont basés sur TCP. Par exemple, une machine connectée par modem peut être protégé de l'extérieur, tout en pouvant charger son courrier électronique, et faire des connexions réseau à Internet. Pour faire cela, vous devez ajouter ce qui suit à votre /etc/hosts.allow :
ALL: 127.
Et bien sûr, /etc/hosts.deny contiendra :
ALL: ALL
Ce qui empêchera des connexions extérieures à votre machine, vous permettant néanmoins de vous connecter depuis l'intérieur aux services de Internet.
Gardez à l'esprit que les encapsuleurs TCP ne protègent que les services exécutés depuis inetd, et quelques rares autres. Il y a sûrement d'autres serveurs tournant sur votre machine. Vous pouvez utiliser netstat -ta pour afficher la liste de tous les services que votre machine offre.
10.8.3. Vérifiez votre information de DNS
Garder des informations DNS à jour sur tous les hôtes de votre réseau peut vous aider à améliorer la sécurité. Si un hôte non autorisé se connecte à votre réseau, vous pouvez l'identifier grâce à son absence d'entrées DNS entry. Beaucoup de services peuvent être configurés de façon à ne pas accepter de connexions d'hôtes qui n'ont pas d'entrées DNS valides.
10.8.4. identd
identd est un petit programme qui est lancé typiquement depuis votre serveur inetd. Il garde la trace de qui utilise quel service TCPet le rapporte alors à qui en fait la demande.
Beaucoup de gens ne comprennent pas l'utilité de identd, et le désactivent ou bloquent toutes le requêtes de l'extérieur qui lui sont destinées. identd n'est pas là pour aider les sites distants. Il n'y a pas moyen de savoir si l'information que vous obtenez de l'identd distant est correcte ou non. Il n'y a pas d'authentification dans les requêtes identd.
Pourquoi voudriez-vous l'utiliser alors? Parce qu'il vous aide, et est une autre source pour le suivi. Si votre identd n'est pas corrompu, alors, vous savez qu'il informe les sites distants des noms d'utilisateur ou UID des personnes utilisant les services TCP. Si l'administrateur du site distant revient et vous dit que l'utilisateur untel essayait de pénétrer dans leur site, vous pouvez facilement prendre des mesures contre cet utilisateur. Si vous n'utilisez pas identd, vous devrez chercher dans un grand nombre de « logs », deviner qui était connecté à ce moment, et en général prendre beaucoup de temps pour rechercher l'utilisateur.
Le identd fourni est plus facile à configurer que beaucoup de gens ne le pensent. Vous pouvez le désactiver pour certains utilisateurs (Ils peuvent créer un fichier .noident file), vous pouvez garder trace de toutes les requêtes identd (recommandé), vous pouvez même faire en sorte que identd retourne un UID au lieu du nom de l'utilisateur, ou même NO-USER.
10.8.5. Configuration et sécurisation du MTA de Postfix
Le serveur de courrier Postfix a été écrit par Wietse Venema, auteur de Postfix et de plusieurs autres produits de sécurité Internet, afin « d'essayer de fournir une alternative au programme Sendmail, grandement utilisé. Postfix tente d'être plus rapide, plus facile à administrer et, nous l'espérons, plus sécuritaire. Il essaie également d'être compatible avec Sendmail, au moins de façon à ne pas fâcher les utilisateurs. »
Vous obtiendrez plus de renseignements au sujet de Postfix sur le site de Postfix ainsi que sur le site Configuring and Securing Postfix.
10.8.6. SATAN, ISS, et autres scanners réseau
Il y a plusieurs paquetages de logiciels qui font du balayage de ports et de services sur machines et réseaux. SATAN, ISS, SAINT, et Nessus en sont quelques-uns des plus connus. Ces logiciels se connectent à la machine cible (ou toutes les cibles machines et réseaux) sur tous les ports qu'ils ouverts, et essayent de déterminer quels services tournent dessus. Sur la base de ces informations, vous pouvez dire si la machine est vulnérable a une attaque spécifique et sur quels services.
SATAN (Security Administrator's Tool for Analyzing Networks, soit Outil d'administrateur sécurité pour l'analyse de réseaux) est un analyseur de port avec une interface Web. Il peut être configuré pour effectuer des vérifications légères, moyennes, ou lourdes sur une machine ou un réseau de machines. C'est une bonne idée de se procurer SATAN et de scanner votre machine ou réseau, et de régler les problèmes qu'il rencontre. Assurez-vous d'obtenir une copie de SATAN sur le site Metalab ou un site FTP ou Web réputé. Il y avait une copie de SATAN « cheval de Troie » qui était distribuée sur Internet. trouble.org. Notez que SATAN n'a pas été mis à jour depuis longtemps et certains des outils ci-dessous pourraient faire du meilleur boulot.
ISS (Scanner de Sécurité Internet) est un autre scanner de port. Il est plus rapide que SATAN, et devraient donc être meilleur pour de grands réseaux. Néanmoins, SATAN tend à fournir plus d'information.
TriSentry (nouveau nom de Abacus) est une suite d'outils qui fournit à la fois la sécurité pour l'hôte et la détection d'intrusion. Jetez un coup d'œil au site Psionic Technologies.
SAINT est une version mise a jour de SATAN. Il a une interface Web et possède des tests bien plus récents que SATAN. Vous pouvez en apprendre plus sur lui à: http://www.wwdsi.com/~saint
Nessus est un scanner sécurité libre. Il propose une interface graphique GTK pour en faciliter l'utilisation. Il est aussi conçu avec un très bon créateur de modules additionnels pour de nouveaux tests de balayage de ports. Pour plus d'information, visiter http://www.nessus.org
10.8.6.1. Détecter les balayages de ports
Il y a quelques outils conçus pour vous alerter de sondages par SATAN, ISS ou d'autres logiciels de balayage. Néanmoins, une utilisation étendue des encapsuleurs TCP, et la consultation régulière des fichiers de log, devrait vous avertir de telles tentatives. Même avec les paramètres les plus faibles, SATAN laisse encore des traces dans les logs.
Il y a aussi des scanners de ports « furtifs ». Un paquet avec le bit TCP ACK activé (comme pour les connexions actives) passera vraisemblablement à travers un pare-feu de filtrage de paquets. Le paquet RST de retour d'un port « _had no established session_ » (n'a pas de session établie) peut être la preuve d'activité sur ce port. Je ne pense pas que les encapsuleurs TCP puissent détecter cela.
Vous pourriez également essayer SNORT, soit un IDS (Intrusion Detection System) libre, dont la fonction est de détecter les intrusions réseau.
10.8.7. sendmail, qmail et les MTA [1]
Un des services les plus importants que vous puissiez fournir est un serveur de courrier électronique. Malheureusement, c'est aussi un des plus vulnérables aux attaques, simplement à cause du grand nombre de tâches qu'il doit effectuer et des privilèges dont il a besoin.
Si vous utilisez sendmail il est très important de garder votre version à jour. sendmail a une très longue tradition d'attaques. Assurez vous de toujours utiliser la version la plus récente de sendmail.
Gardez à l'esprit que vous n'avez pas forcément besoin de sendmail pour envoyer du courrier. Si vous êtes un particulier, vous pouvez désactiver complètement sendmail, et utiliser simplement votre client de courrier pour envoyer vos messages. Vous pouvez aussi choisir d'enlever l'option -bd du fichier de démarrage de sendmail, désactivant ainsi les requêtes pour le courrier rentrant. En d'autres termes, vous pouvez exécuter sendmail depuis vos fichiers de démarrage en utilisant plutôt :
# /usr/lib/sendmail -q15m |
Beaucoup d'administrateurs choisissent de ne pas utiliser sendmail, et choisissent à la place un des autres agents de transport de courrier. qmail par exemple a été conçu dans un but de sécurité, depuis le néant. Il est plus rapide, stable, et sûr. Qmail peut être trouvé à qmail
En compétition directe avec qmail, on trouve postfix, écrit par Wietse Venema, l'auteur des encapsuleurs TCP et d'autres outils de sécurité. Anciennement nommé vmailer, et soutenu par IBM, il est aussi un agent de transport de courrier complètement ré-écrit avec la sécurité à l'esprit. Vous pouvez trouver plus d'information à propos de postfix à postfix
| postfix est l'agent de transport de courrier installé par défaut avec votre distribution de Mandrake Linux. Consultez à ce sujet le chapitre Le serveur de courrier Postfix de ce manuel. |
10.8.8. Attaques en dénis de service[2]
Un attaque en « Dénis de service » (DoS) essaye de saturer les ressources de sorte que le système ne puisse plus répondre aux requêtes légitimes, ou de refuser l'accès à votre machine aux utilisateur légitimes.
Les attaques en dénis de service ont beaucoup progressé ces dernières années. Certaines des plus récentes et connues sont listées ci-dessous. Notez que de nouvelles naissent sans arrêt, de sorte qu'il n'y a ici que quelques exemples. Lisez les archives de listes de courriers sur la sécurité ou suivi de bogues GNU/Linux pour une information plus à jour.
SYN Flooding - Inondation SYN est une attaque de dénis de service réseau. Il exploite une ouverture dans la façon dont sont créées les connexions TCP. Les derniers noyaux GNU/Linux (2.0.30 et au delà) proposent plusieurs options de configuration pour empêcher ce type d'attaque de refuser aux gens l'accès à votre machine ou services. Consultez Sécurité du noyau pour les options de noyaux en question.
Ping Flooding - Inondation de Ping est une attaque simple en force brute de dénis de service. L'attaquant envoie une « vague » de paquets ICMP à votre machine. S'ils font cela depuis un hôte qui possède plus de largeur de bande que le votre, votre machine sera incapable d'envoyer quoi que ce soit vers le réseau. Une variation de cette attaque, appelée « smurfing », envoie les paquets ICMP à un hôte avec l'IP de retour de votre machine, leur permettant de vous inonder de manière moins détectable. vous pouvez trouver plus d'information sur l'attaque « smurf » sur le site de linuxsecurity.com.
Si vous êtes en train de subir une attaque en inondation de ping, utilisez un outils comme tcpdump pour déterminer l'origine des paquets (ou l'origine apparente), puis contactez votre fournisseur d'accès avec cette information. Les inondations ping peuvent être le plus facilement stoppées au niveau du routeur ou en utilisant un pare-feu.
Ping o' Death - L'attaque en ping mortel envoie des paquets ICMP ECHO REQUEST qui sont trop grands pour être contenus dans les structures de données du noyaux prévues pour les accueillir. Parce que envoyer un seul, gros (65.510 octets) paquet ping à plusieurs système les fera s'arrêter ou même planter, ce problème a rapidement été surnommé « Ping o' Death » (ping mortel). Celui-ci a été contourné depuis longtemps, et il n'y a plus à s'en préoccuper.
10.8.9. Sécurité NFS (Système de Fichiers Réseau).
NFS est un protocole de partage de fichiers largement utilise. Il permet a des serveurs qui utilisent nfsd et mountd d'« exporter » des systèmes de fichiers entiers vers d'autres machines en utilisant le support de systèmes de fichiers NFS inclus dans leurs noyaux. mountd suit les systèmes de fichiers montés dans /etc/mtab, et peux les afficher avec showmount.
Beaucoup de sites utilisent NFS pour fournir les répertoires racines des utilisateurs, de sorte que quelle que soit la machine du réseau sur laquelle ils se connectent, ils auront tous leurs fichiers personnels.
Il y a peu de sécurité possible lorsqu'on exporte un système de fichiers. Vous pouvez faire en sorte que nfsd remplace l'utilisateur root distant (UID=0) par l'utilisateur nobody, en leur empêchant totalement l'accès aux fichiers exportés. Néanmoins, puisque les utilisateurs individuels peuvent accéder à leur propres fichiers (ou tout au moins ayant le même UID), l'utilisateur root distant peut se connecter ou faire un su depuis leur compte et avoir un accès total à leurs fichiers. Ce n'est qu'un léger obstacle pour un attaquant qui peut monter votre système de fichier distant.
Si vous devez utiliser NFS, assurez vous de n'exporter que vers des machines qui en ont vraiment besoin. N'exportez jamais votre répertoire racine entier; mais seulement les répertoires qui ont besoin d'être exportés.
Consultez le HOWTO NFS pour plus de renseignements sur NFS, sur le site LDP.
10.8.10. NIS (Service d'information réseau) (anciennement YP).
NIS (Network Information Service) est un moyen de distribuer de l'information à d'autres machines. Le maître NIS détient les tables d'information et les convertit en fichiers cartes NIS. Ces cartes sont alors servies sur le réseau, permettant aux machines clientes NIS d'obtenir les noms de connexion, mots de passe, répertoires utilisateurs et information shell (tout ce qui se trouve dans un fichier /etc/passwd standard). Cela permet aux utilisateurs de changer leur mot de passe une seule fois et prendre pourtant effet sur toutes les machines du domaine NIS.
NIS n'est pas vraiment sûr. Il n'a jamais été sensé l'être. Il était censé être pratique et utile. Quiconque capable de deviner votre nom de domaine NIS (où que ce soit sur le réseau) peut obtenir une copie de votre fichier de mots de passes, et utiliser crack et John the Ripper contre les mots de passe de vos utilisateurs. Il est aussi possible de se faire passer pour NIS et faire toutes sortes de vilaines choses. Si vous devez utiliser NIS, soyez avertis des dangers.
Il y a un remplaçant beaucoup plus sûr à NIS, appelé NIS+. Consultez le HOWTO NIS pour plus d'information: NIS-HOWTO.
10.8.11. Pare-feu
Les pare-feu sont un moyen de contrôler les informations autorisées à sortir et à rentrer dans votre réseau local. Généralement, l'hôte pare-feu est connecté à Internet et à votre réseau local, et le seul accès depuis votre réseau vers Internet est à travers le pare-feu. De cette façon, le pare-feu peut contrôler ce qui rentre et sort de Internet et de votre réseau local.
Plusieurs types de pare-feu et de méthodes pour les mettre en place existent. Les machines GNU/Linux constituent de bons pare-feu. Le code pare-feu peut être inséré directement dans les noyaux 2.0 et supérieurs. Les outils utilisateur ipchains pour les noyaux 2.2, et iptables pour noyau 2.4 vous permettent de changer, à la volée, les types de trafics réseau que vous autorisez. Vous pouvez aussi garder trace de certains trafics réseau.
Les pare-feu sont une technique utile et importante pour sécuriser votre réseau. Néanmoins, ne pensez jamais que, parce que vous avec un pare-feu, vous n'avez pas besoin de sécuriser les machines derrière lui. C'est une erreur fatale. Consultez le très bon HOWTO pour plus d'information sur les pare-feu et GNU/Linux. Firewall-HOWTO.
Si vous n'avez aucune expérience avec les pare-feu, et envisagez d'en mettre un en place pour plus qu'une simple politique de sécurité, le livre Firewalls de chez O'Reilly and Associates ou tout autre document en ligne sur les pare-feu est indispensable. Consultez O'Reilly pour plus d'information. Le NIST (National Institute of Standards and Technology) a rassemblé un excellent document sur les pare-feu. Bien que daté de 1995, il est toujours très bon. Vous pouvez le trouver à nist.gov. Il y a aussi :
Le projet Freefire -- une liste d'outils de pare-feu libres, disponible sur le site de freefire
Mason - the automated firewall builder for Linux (Mason, le bâtisseur de pare-feu automatique pour GNU/Linux). C'est un script de pare-feu qui apprend comment vous faites les choses dont vous avez besoin de faire sur votre réseau ! Plus de renseignements sur le site de Mason
10.8.12. IP Chains - pare-feu pour les noyaux GNU/Linux 2.2.x
Les chaînes pare-feu IP GNU/Linux sont une misa à jour du code de pare-feu des noyaux 2.0, Il y a un bon nombre de nouvelles caractéristiques, dont :
Manipulation des paquets plus flexible
Gestion des comptes plus complexe
Changements de politique simple possible automatiquement
Les fragments peuvent être explicitement bloqués, refusés, etc.
Enregistre les paquets suspects
Peut gérer des protocoles autres que ICMP/TCP/UDP.
Assurez-vous de lire le HOWTO IP Chains pour plus d'information. Il est disponible sur le site de Linuxdoc.
10.8.13. Netfilter - pare-feu pour les noyaux Linux 2.4.x
Netfilter se veut un ensemble d'ajout au code de filtrage de paquets IP du noyau. Il permet aux utilisateurs de configurer, d'entretenir et d'inspecter les règles de filtrage de paquets dans le nouveau noyau 2.4.
Le sous-système netfilter est une réécriture complète des implantations de filtrage de paquets, incluant ipchains et ipfwadm. Netfilter procure un large éventail d'améliorations, et est devenu une solution encore plus mature et robuste pour protéger les réseaux professionnels.
iptables se veut l'interface de ligne de commande pour manipuler les tables de pare-feu à l'intérieur même du noyau.
Netfilter procure également une architecture brute pour manipuler les paquets tandis qu'ils traversent les différentes parties du noyau. Cette architecture inclut la prise en charge du masquage, le filtrage standard de paquets ainsi qu'une traduction d'adresses de réseau plus complète. La prise en charge des requêtes de charge balancée pour un service en particulier parmi un groupe de serveurs, situés derrière un mur pare-feu, a également été améliorée.
La fonctionnalité de filtrage adaptif (stateful inspection) est particulièrement puissante. Le filtrage adaptif permet de tracer et de contrôler le flux de communications passant à travers le filtre. La possibilité de garder une trace des états et le contexte pertinent à une session ne font pas que rendent les règles plus simples ; cela permet également de mieux interpréter les protocoles de niveau supérieur.
De plus, de petits modules peuvent être développés pour produire des fonctions supplémentaires spécifiques, telles que le passage de paquets à des programmes dans l'espace utilisateur pour traitement, puis leur réintroduction dans le flux normal de paquets. La possibilité de développer ces programmes dans l'espace utilisateur réduit le niveau de complexité y étant associé précédemment : les changements n'ont plus à être faits directement au niveau du noyau.
Voici d'autres références en matières de tables IP :
Oskar Andreasson IP Tables Tutorial — Oskar Andreasson, de pair avec LinuxSecurity.com, discute de son tutoriel sur les tables IP et de l'utilité de ce document pour construire un pare-feu robuste pour votre entreprise ;
Hal Burgiss Introduces Linux Security Quick-Start Guides — Hal Burgiss a écrit deux guides officiels sur la sécurité sous Linux, y compris la gestion de pare-feu ;
Page d'accueil de Netfilter — la page d'accueil concernant netfilter et iptables ;
Linux Kernel 2.4 Firewalling Matures: netfilter — cet article de LinuxSecurity.com décrit les bases du filtrage de paquets, comment commencer à utiliser les tables IP, ainsi qu'une liste des nouvelles fonctionnalités disponibles dans les plus récentes générations de pare-feu pour Linux.
10.8.14. VPNs - Réseaux privés virtuels
Les VPNs (Virtual Private Networks) sont un des moyens d'établir un réseau « virtuel » par dessus un réseau déjà existant. Ce réseau virtuel est souvent crypté et transmet les données uniquement de et vers certaines entités qui ont rejoint le réseau. Les VPNs sont souvent utilisés pour connecter quelqu'un travaillant chez lui par dessus Internet public sur le réseau interne de sa compagnie.
Si vous utilisez un pare-feu Linux en masquage et avez besoin de faire passer des paquets MS PPTP (le produit point-à-point VPN de Microsoft), il y a un correctif de noyau qui fait cela. Voir : ip-masq-vpn.
Il y a plusieurs solutions GNU/Linux VPN disponibles:
vpnd. Voir http://sunsite.auc.dk/vpnd/.
Free S/Wan, disponible à http://www.xs4all.nl/~freeswan/
ssh peut être utilisé pour construire un VPN. Voir le mini-howto VPN pour plus d'information.
vps (serveur privé virtuel) à http://www.strongcrypto.com.
vtun (tunnel virtuel) sur le site Web sourceforge.
Consultez aussi la section sur IPSEC pour des références vers plus d'information.