Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
642 connectés 

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Isoler un pc

n°141411
dopi
Posté le 28-07-2016 à 12:00:45  profilanswer
 

Bonjour,  
 
Je vais avoir besoin d'isoler du Lan un pc dans une boutique. Ce pc sera dédié aux clients (impressions, mail etc...). Il y a donc un fort risque pour qu'il soit vérolé rapidement, les clients vont apporter leurs propres clés et disques...
Bref,  
J'ai pensé à un VLAN avec l'accès uniquement web, mais serais-ce suffisant vis à vis des virus? Je dispose d'un switch administrable assez basique TL-SG1016DE de TP-LINK.
 
Quelle solution puis-je mettre en place pour isoler ce poste, tout en laissant l'accès internet?  
Merci d'avance pour vos conseils.

Message cité 1 fois
Message édité par dopi le 29-07-2016 à 14:33:54
mood
Publicité
Posté le 28-07-2016 à 12:00:45  profilanswer
 

n°141412
nex84
Dura lex, sed lex
Posté le 28-07-2016 à 12:29:32  profilanswer
 

Si ce PC a accès au net, prépare toi à devoir le réinstaller très souvent.
En plus t'es tu renseigné sur les reglementations concernant la responsabilité de ce qui est fait avec ?


---------------
Come to the Dark Side, we have cookies.
n°141413
nebulios
Posté le 28-07-2016 à 13:34:49  profilanswer
 

Si ça revient à intégrer à ton réseau un futur zombie, oui c'est dangereux. Quel est l'objectif derrière tout ça ?

n°141416
jojos92
Quand on aime on ne compte pas
Posté le 28-07-2016 à 14:27:03  profilanswer
 

dopi a écrit :

Bonjour,  
 
Je vais avoir besoin d'isoler du Lan un pc dans une boutique. Ce pc sera dédié aux clients (impressions, mail etc...). Il y a donc un fort risque pour qu'il soit vérolé rapidement, les clients vont apporter leurs propres clés et disques...
Bref,  
J'ai pensé à un VLAN avec l'accès uniquement web, mais serais-ce suffisant vis à vis des virus? Je dispose d'un switch administrable assez basique TL-SG1016DE de TP-LINK.
 
Quelle solution puis-je mettre en place pour isoler ce poste, tout en laissant l'accès internet?  
Merci d'avance pour vos conseils.


 
 
Si c'est pour le virus sur le poste quoi qu'il arrive il sera vérolé, VLAN ou pas ça n'a rien à voir :D
 
De base avec un accès internet + multiples clé USB sur un ordi publique = gros risque


---------------
i7 3770 @4,1ghz  MSI R9 290 @ 1100/1450mhz
n°141420
koma777
Posté le 28-07-2016 à 16:24:47  profilanswer
 

Je pense qu'il parle surtout de Vlan pour protéger les autres machines de son réseau.  
Pour le coup, oui ça sera efficace, dans la mesure où le VLAN est un réseau local virtuel. (en gros ca revient à brancher ta machine sur un switch à part !)
 
Après il est clair que ce PC va avoir énormément de problème... que ce soit virus ou droit.  
Premièrement, renseigne toi sur le site de la CNIL. Tu devrais certainement devoir gérer les logs par exemple. Un parefeu ou un proxy devra surement être utilisé également.  
 
Que doivent-ils faire dessus ?

n°141431
dopi
Posté le 29-07-2016 à 09:02:34  profilanswer
 

Merci à tous pour vos réponses,  
En effet, je pensais au VLAN pour isoler le poste des autres machines, toutefois, quid des futurs virus (c'est sur, qu'il y en aura) par rapport au reste des machines ? Peuvent-ils malgré tout traverser ?
 
En effet, je n'avais pas pensé à la gestion des logs...il va falloir que je contacte la CNIL.
 

Citation :

Que doivent-ils faire dessus ?


Les clients arrivent avec leur clé USB ou disque, et font des impressions. C'est un petit village. Ils consultent et impriment leurs mails etc....

n°141434
Je@nb
Modérateur
In ze cloud
Posté le 29-07-2016 à 10:03:20  profilanswer
 

il y avait windows steady state dans xp/vista mais malheureusement il n'est pas resté avec windows 7.
Tu peux tenter de bloquer qq trucs https://blogs.windows.com/itpro/201 [...] windows-7/ mais bon c'est différent.
il y a peut être des solutions du marché équivalentes.
 
L'idée est que à chaque reboot le poste revienne dans son état initial.
 
Sinon tu as aussi avec vmware workstation (peut être player ?) ce genre de possibilité

n°141435
nex84
Dura lex, sed lex
Posté le 29-07-2016 à 10:18:45  profilanswer
 

Depluis Windows 8 il a le mode Assigned Access qui est le successeur du Steady State :
https://technet.microsoft.com/en-us [...] p-editions


---------------
Come to the Dark Side, we have cookies.
n°141440
Je@nb
Modérateur
In ze cloud
Posté le 29-07-2016 à 11:47:41  profilanswer
 

Successeur, successeur pas trop non. C'est juste du mode kiosk mais ça fait rien de ce que j'ai expliqué avant. C'est pas ça qui va faire que une fois ton poste bien cradossé, virussé ou quoi une fois rebooté il sera à nouveau clean.

n°141441
dopi
Posté le 29-07-2016 à 11:56:22  profilanswer
 

Merci à tous,  
Je ne connaissais pas Steady State, c'est intéressant, dommage que cela n'ai pas suivi.
Le problème n'est pas trop la restauration. Je fais un Clonzilla, et le tour est joué. Je pense en effet qu'il va falloir restaurer souvent :pt1cable:  
 
Concernant la CNIL évoquée plus haut, en effet, il va falloir garder les logs de connexion pendant un an (si ça peut interesser d'autres personnes: https://www.cnil.fr/fr/conservation [...] ligations)
 
Toutefois, qu'en est-il d'un vilain virus sur une clé, avec un pc sur un Vlan? Ca passe ? Ca ralenti ? Ca bloque?  
J'ai pu lire par ci et par là que ça passait...
 
Encore merci à tous :)
 

mood
Publicité
Posté le 29-07-2016 à 11:56:22  profilanswer
 

n°141442
nex84
Dura lex, sed lex
Posté le 29-07-2016 à 11:57:10  profilanswer
 

S'pas faux.
 
Mais le mode Kiosk a l'avantage de verrouiller l'utilisation du PC.
Et donc être moins à la merci des usages plus ou moins propres.


---------------
Come to the Dark Side, we have cookies.
n°141443
Je@nb
Modérateur
In ze cloud
Posté le 29-07-2016 à 11:58:25  profilanswer
 

c'est les ACL sur le routeur/Firewall qui vont bloquer et isoler tes flux.

n°141461
johndoefr
L\
Posté le 30-07-2016 à 23:50:10  profilanswer
 

Bonjour,
le mieux serait d'utiliser un bureau "cloud" hébergé en ligne avec peu d'options. Tu pourrais donner accès à l'impression, l'usb et j'en passe (mais seulement si la connexion le permet 2mbps minimum).
Sinon un pare-feu et/ou un antivirus bien configuré feront l'affaire !
 
A+


---------------
appcaze.com - visiontech.fr
n°141505
ShonGail
En phase de calmitude ...
Posté le 02-08-2016 à 19:40:47  profilanswer
 

Tu peux tenter un linux avec droits minimum.
Ca élimine déjà pas mal de problèmes qui vont avec Windows.
 
Niveau réseau, tu places un routeur apte à gérer plusieurs interfaces, type Ipfire (ou Smoothwall ou Ipcop).
Tu bloques tout en sortie vers Internet et tu actives juste le proxy avec listes blanches ou noires.

n°141890
dopi
Posté le 29-08-2016 à 09:17:58  profilanswer
 

Bonjour à tous,  
Je réponds un peux tardivement, merci beaucoup pour vos réponses très instructives :)
Concernant la mise en place d'un routeur avec plusieurs interfaces (dont une dédiée au pc isolé), les antis-virus intégrés (CLAMAV) dans les solutions comme PFSENSE sont-elles réellement efficaces?


Aller à :
Ajouter une réponse
 

Sujets relatifs
Ftp IIS avec isolation d'utilisateur[RESOLU] FAI, isolation des clients ADSL
[RESOLU] CISCO VLAN niv. 3 IsolationVirtualisation VDI - 3VM sur MacBook et isolation exterieur
Boitier switch isolation phoniqueIsolation Serveur KMS dans un environnement LDAP
MSTP et isolation de domaine STP avec régions[Résolu] Isolation d'une partie d'un réseau en concervant internet.
Plus de sujets relatifs à : Isoler un pc



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR