Le tunnel GRE

Il existe avec Linux un type de tunnel qui encapsule de l'IP sur IP. Cette solution n'existe, semble-t-il, que sous Linux et reste assez limitative. Nous allons plutôt utiliser une méthode normalisée, à peine plus complexe : le tunnel GRE. Ne confondez donc pas ces deux possibilités.

Le tunnel GRE (Generic Routine Encapsulation) fonctionne parfaitement. C'est un protocole ouvert, initialement développé par CISCO, et qui peut donc se mettre en place sur des plate-formes différentes. Il est défini par le RFC 2784 :

• il est possible d'ouvrir plusieurs tunnels depuis un hôte donné ;
• il est conçu pour pouvoir encapsuler n'importe quel protocole de niveau 3 dans IP. Pratiquement, le plus souvent, de l'IP dans de l'IP.

Malheureusement, ce n'est pas un protocole sécurisé. Si vous l'utilisez sur l'internet, mesurez les risques que vous prenez !

Faites une recherche sur les façons de prendre possession d'un réseau utilisant un tel tunnel et vous serez fixé. Ce n'est pas facile à faire, mais c'est tout à fait réalisable. Vous êtes prévenu :

• GRE ne prévoit pas de chiffrment des données qui passent dans le tunnel, il n'est pas étanche ;
• GRE ne prévoit pas l'authentification des extrémités du tunnel, vous n'êtes sûr que de l'authenticité de votre bout de tunnel.

(Je l'ai peut-être déjà dit…)

Juste pour voir comme c'est simple à monter, et comme un tunnel peut rendre des services, nous allons tout de même en réaliser un, le temps de faire la manip.