Bonjour à tous,
 
Nouveau, je viens vous demander des conseils d'architecture rezo, même si c'est un bien grand mot.  
 
J'ai un petit rezo d'entreprise, à savoir un serveur windows 2000, et 6 postes clients sous xp. Le seveur sert principalement pour le stockage de fichiers, et pour partager
l'imprimante ethernet sur le rezo. Aucun accès à l'extérieur (internet, autre rezo). Par ailleurs, j'ai 2 pc connectés sur une livebox, ayant du coup, accès à internet.  
Les deux rezo sont complètement dissociés physiquement. le premier s'appelle rezo1, et les pc connectés au net rezo2
 
La raison au départ est simple. Pas d'internet sur le rezo interne pour ne pas avoir :  1) d'emmerdes  2) des personnes à flâner en surfant, …..
 
 
Mais aujourd'hui, je suis coincé, et je dois évoluer dans mon architecture car j'aimerai que l'on puisse :
 
- accéder depuis les ordis du rezo2, à certains répertoires du serveur du rezo1.
- les postes clients du rezo1 ont un logiciel antivirus. j'aimerais que la mise à jour de leur base puisse être automatisé, sans recopie manuelle (comme actuellement) des updates
de la base des signatures. pour info, je n'ai pas besoin de client email, ftp, web ou autres sur les postes clients, ni sur le serveur. je ne veux pas de dialogue d'update windows non plus, rien. Hormis la base de signature pour l'antivirus, le rezo1 n'a pas de besoin d'accès vers l'extérieur.
 
J'espère avoir été le plus clair et synthétique possible.  
 
Je fais donc appel à vos compétences pour me proposer une solution ou une piste, qui permet de le mettre en oeuvre. Mon budget est limité, mais je peux dépenser un peu
si cela a du sens. Je ne suis pas administrateur système, et j'aimerai qqchose que je ne suis pas obligé de surveiller tous les jours, et qui soit robuste. Je sais que le risque zéro  
avec surveillance n'existe pas, encore moins sans surveillance.
 
Merci beaucoup pour votre aide, et si je peux compléter pour aider, j'en serais ravi.

Déjà du Windows 2000 ça va être hard, car le support est (il me semble) arrêté depuis au moins 2 ans donc il te faudrait partir sur une licence 2008.
Là c'est le matériel qui ne suivra peut être pas, donc pouf achat d'un nouveau serveur par dessus.
 
Tu as posté en catégorie alternatif, donc tu veux utiliser une machine sous Linux ou Unix non pour faire le taf c'est ça ?
 
De plus tu as un réseau de machine sous Windows sans aucune mise à jour ? Même pas un WSUS ?
Pour finir il manque : quel est l'antivirus ?

Nan mais t'es vendeur à la FNAC ou chez Darty / Boulanger ou quoi ???    
 

C'est pas bien, mais d'un autre côté, pas d'accès au NET ...
 

OSEF
 
 
A mon avis, tu t'es planté de catégorie netsylvain

Nan, client pro chez Dell, Lenovo, HP... c'est ce genre de discours qu'ils lui tiendront quand il arrivera avec ses gros sabots "j've ça"
Après perso j'ai encore de la machine sous 2000 Pro (poste de travail) qui fonctionne très bien, mais je vais la migrer vers du 7 en changeant de machine.

D'où justement ma réflexion dessus... mettre en place un système de mise à jour de l'antivirus mais pas de l'OS, c'est comme si tu proposais de nettoyer la carrosserie et de passer l'aspirateur dans sa voiture, sans faire l'entretien du moteur.

Ou pas. Car suivant l'antivirus il faudra qu'il ait une version installable sur serveur et qui pourra faire de la redistribution des bases de mises à jour.
De base presque aucun ne permet de faire un tel fonctionnement, donc coût d'une licence en plus voire d'une licence spécifique.

Oups, pour la catégorie.
disons que cela pourrait être bon, si j'installais un linux en firewall ? :-)
blague à part, suis un peu perdu, mais je veux bien reposter ailleurs, pas de soucis.
de ce que je vois, ca va pas être simple...
ps : kaspersky, mais cela pourraît être du bitdefender par exemple, car les licences sont bientôt à renouveller.
 
merci pour votre aide

Ca je peux changer, c'est plutôt par manque de temps d'upgrade. en fait, je pourrais remplacer cela pas un nas, un file server.
 

non, me suis trompé de catégorie :-/

Non, pas eu le temps de me pencher sur un wsus.
kaspersky, mais je peux changer, les licences arrivent bientôt à expiration.
 
merci de ton aide
 

Ce sujet a été déplacé de la catégorie OS Alternatifs vers la categorie Systèmes & Réseaux Pro par O'gure

Tu peux te faire un firewall sous linux avec une distribution type Pfsense pour partager ta connexion, n'autoriser en sortie que les mises a jour Antivirus.
Tu mets tes postes sur le même réseau.
L’investissement est faible, le temps de mise en place et d'administration est un peu plus long, et surtout tes postes vont manger tour a tour la bande passante pour aller chercher les mises a jour.
 
Ou
 
Tu peux te faire un firewall sous linux avec une distribution type Pfsense pour partager ta connexion.
Acheter un antivirus entreprise avec console de management sur le serveur compatible avec windows 2000.
Ne pas autoriser du tout les postes de l'ancien rezo1 a sortir sur internet mais autoriser ton serveur a aller chercher les update.
 
Ou  
 
Tu peux aussi si tu as un switch qui le gere faire des vlans, pour autoriser les 2 réseaux distincts a communiquer avec le serveur
Acheter un antivirus entreprise avec console de management sur le serveur compatible avec windows 2000.
autoriser ton serveur a aller chercher les update via la livebox faisant parti du vlan rezo2.
 
Par la même occasion c est vrai que mettre en place un WSUS peut etre judicieux pour distribuer les mises a jour sur les postes clients.

Une solution qui vaut ce qu'elle vaut, en partant du principe que tu n'es pas informaticien, que tes utilisateurs ne le sont pas non plus, et que tu as un budget faible:
- tout le monde sur le même réseau physique, tous les postes sur le domaine, avec bien sûr le serveur comme seul serveur dns, et un redirecteur dans la config dns du serveur (enfin la config normale quoi)
- dans le pare-feu intégré à la box (ou autre routeur si tu peux, surtout si tu n'utilise pas la téléphonie de la box ...), tu bloque la sortie vers internet sauf pour le serveur et les machines qui doivent avoir accès au net (ces machines seront en ip fixe, ou en dhcp avec réservation d'adresse)
- wsus sur le serveur, pour redistribuer les maj même aux postes qui n'ont pas accès au net
- antivirus avec un miroir de mises à jours, pour la même raison, par exemple Eset Nod32 le fait très bien, pas besoin de la console d'administration (elle sert à faire du push et modifier les config en masse, pas besoin ici), le miroir de mises à jours est inclus dans la version entreprise (accessible à partir de 3 ou 5 postes je ne sais plus, j'ai pas de si petite install, en tous cas le tarif est bon). Beaucoup d'autres antivirus ont ça aussi, mais souvent la centralisation des mises à jour passe par la console d'admin complète, c'est parfois un peu usine à gaz pour si peu de postes ...
 
Je t'encourage aussi à renouveler ton vieux serveur, un serveur premier prix chez un constructeur (hp, dell, fujitsu, ibm, etc...) avec un raid 1 sata, peut-être un peu de ram en plus (souvent de base c'est un peu la dèche), et une garantie 3 ou 5 ans en "j+1 - 5j/sem - heures ouvrées" (pas cher et certainement suffisant vu la description de ton système actuel), avec un windows 2008 r2, ça va pas chercher bien loin et ça sera vraiment bon pour l'avenir du système informatique de la boite. Le serveur sert à stocker des fichiers partagés, pense donc aussi aux sauvegardes, si c'est dans le même état que le reste c'est pas top

 
Merci pour cette propal, c'est je crois celle qui correspond le plus à ma situation / besoin. Au passage, suis informaticien (dev), mais très loin du rezo. Donc je sais mettre en oeuvre ce que tu décris sans soucis, et suis venu chercher la meilleur propal, avec des pros du rezo. Cependant, il y a un point qui me gêne. je peux bloquer le trafic sortant via la box pour les postes, mais j'aurais aimé bloqué le trafic entrant. une idée sur la manière la plus simple de faire ?  car sinon, je m'en remet "bêtement" à l'antivirus et la sécurité de windows (à la différence de ma séparation physique de today). si tu as une bonne idée (blocage entrant et sortant) , via du matos type routeur dédié, je suis preneur de reference, ou bien soft via le serveur. Ok pour le serveur win2008, je vais étudié cela. pour les sauvegardes, si j'en ai, quotidiennes en plus
 
merci encore

 
merci pour ta propal. je vais étudié cela, conjointement avec le post de aspegic500mg

 
Ça me rappelle les "solutions du pauvre" que je mettais en place y'a très longtemps pour les TPE tune  
Tous les routeurs et "box" du marché bloquent par défaut tout ce qui est entrant.
 
Tes sauvegardes sont-elles testées une fois de temps en temps ?

 
Oui, j'ai même eu à m'en servir en réel, suite à une mauvaise manip d'un utilisateur.
J'ai du mal à me résoudre à ce que le serveur soit sur le net, juste derrière une livebox    

vieille idée sur la sécurité, ça n'est pas un modem usb là, c'est comme n'importe quel routeur du marché: tout ce qui tente d'entrer est bloqué.