Bonjour,  
 
Je vais avoir besoin d'isoler du Lan un pc dans une boutique. Ce pc sera dédié aux clients (impressions, mail etc...). Il y a donc un fort risque pour qu'il soit vérolé rapidement, les clients vont apporter leurs propres clés et disques...
Bref,  
J'ai pensé à un VLAN avec l'accès uniquement web, mais serais-ce suffisant vis à vis des virus? Je dispose d'un switch administrable assez basique TL-SG1016DE de TP-LINK.
 
Quelle solution puis-je mettre en place pour isoler ce poste, tout en laissant l'accès internet?  
Merci d'avance pour vos conseils.

Si ce PC a accès au net, prépare toi à devoir le réinstaller très souvent.
En plus t'es tu renseigné sur les reglementations concernant la responsabilité de ce qui est fait avec ?

Si ça revient à intégrer à ton réseau un futur zombie, oui c'est dangereux. Quel est l'objectif derrière tout ça ?

 
 
Si c'est pour le virus sur le poste quoi qu'il arrive il sera vérolé, VLAN ou pas ça n'a rien à voir
 
De base avec un accès internet + multiples clé USB sur un ordi publique = gros risque

Je pense qu'il parle surtout de Vlan pour protéger les autres machines de son réseau.  
Pour le coup, oui ça sera efficace, dans la mesure où le VLAN est un réseau local virtuel. (en gros ca revient à brancher ta machine sur un switch à part !)
 
Après il est clair que ce PC va avoir énormément de problème... que ce soit virus ou droit.  
Premièrement, renseigne toi sur le site de la CNIL. Tu devrais certainement devoir gérer les logs par exemple. Un parefeu ou un proxy devra surement être utilisé également.  
 
Que doivent-ils faire dessus ?

Merci à tous pour vos réponses,  
En effet, je pensais au VLAN pour isoler le poste des autres machines, toutefois, quid des futurs virus (c'est sur, qu'il y en aura) par rapport au reste des machines ? Peuvent-ils malgré tout traverser ?
 
En effet, je n'avais pas pensé à la gestion des logs...il va falloir que je contacte la CNIL.
 

Les clients arrivent avec leur clé USB ou disque, et font des impressions. C'est un petit village. Ils consultent et impriment leurs mails etc....

il y avait windows steady state dans xp/vista mais malheureusement il n'est pas resté avec windows 7.
Tu peux tenter de bloquer qq trucs https://blogs.windows.com/itpro/201 [...] windows-7/ mais bon c'est différent.
il y a peut être des solutions du marché équivalentes.
 
L'idée est que à chaque reboot le poste revienne dans son état initial.
 
Sinon tu as aussi avec vmware workstation (peut être player ?) ce genre de possibilité

Depluis Windows 8 il a le mode Assigned Access qui est le successeur du Steady State :
https://technet.microsoft.com/en-us [...] p-editions

Successeur, successeur pas trop non. C'est juste du mode kiosk mais ça fait rien de ce que j'ai expliqué avant. C'est pas ça qui va faire que une fois ton poste bien cradossé, virussé ou quoi une fois rebooté il sera à nouveau clean.

Merci à tous,  
Je ne connaissais pas Steady State, c'est intéressant, dommage que cela n'ai pas suivi.
Le problème n'est pas trop la restauration. Je fais un Clonzilla, et le tour est joué. Je pense en effet qu'il va falloir restaurer souvent  
 
Concernant la CNIL évoquée plus haut, en effet, il va falloir garder les logs de connexion pendant un an (si ça peut interesser d'autres personnes: https://www.cnil.fr/fr/conservation [...] ligations)
 
Toutefois, qu'en est-il d'un vilain virus sur une clé, avec un pc sur un Vlan? Ca passe ? Ca ralenti ? Ca bloque?  
J'ai pu lire par ci et par là que ça passait...
 
Encore merci à tous
 

S'pas faux.
 
Mais le mode Kiosk a l'avantage de verrouiller l'utilisation du PC.
Et donc être moins à la merci des usages plus ou moins propres.

c'est les ACL sur le routeur/Firewall qui vont bloquer et isoler tes flux.

Bonjour,
le mieux serait d'utiliser un bureau "cloud" hébergé en ligne avec peu d'options. Tu pourrais donner accès à l'impression, l'usb et j'en passe (mais seulement si la connexion le permet 2mbps minimum).
Sinon un pare-feu et/ou un antivirus bien configuré feront l'affaire !
 
A+

Tu peux tenter un linux avec droits minimum.
Ca élimine déjà pas mal de problèmes qui vont avec Windows.
 
Niveau réseau, tu places un routeur apte à gérer plusieurs interfaces, type Ipfire (ou Smoothwall ou Ipcop).
Tu bloques tout en sortie vers Internet et tu actives juste le proxy avec listes blanches ou noires.

Bonjour à tous,  
Je réponds un peux tardivement, merci beaucoup pour vos réponses très instructives
Concernant la mise en place d'un routeur avec plusieurs interfaces (dont une dédiée au pc isolé), les antis-virus intégrés (CLAMAV) dans les solutions comme PFSENSE sont-elles réellement efficaces?