Jak mogę pobrać plik wykonywalny do sieci firmowej, gdy jest on zablokowany?

Na pierwszy rzut oka może się to wydawać głupie (lub niegodziwe) pytanie, ale pozwól mi rozwinąć ...

Wdrożyliśmy różnego rodzaju środki w sieci firmowej i serwerze proxy, aby zapobiec pobieraniu określonych typów plików na maszyny firmy. Większość plików, nawet pliki zip z plikami exe, są blokowane po kliknięciu, aby je pobrać.

Ale niektórym „przedsiębiorczym” użytkownikom nadal udaje się pobrać pliki do pracy. Na przykład stałem za kimś (kto mnie nie znał lub w którym dziale pracowałem), który na naszych oczach zmienił adres URL z końcówką „.exe” na „.exe?”, A przeglądarka przeszła tuż przed i pobrałem „nieznany” typ pliku. Od tego czasu zatkaliśmy tę dziurę, ale chciałbym wiedzieć, czy ktokolwiek wie o nikczemnych sposobach pobierania plików z pominięciem zabezpieczeń sieci i sprawdzania oprogramowania.

A może jeśli znasz jakieś komercyjne oprogramowanie, które możesz przysiąc, jest kuloodporne, a my możemy go wypróbować przez jakiś czas.

Każda pomoc doceniona ...

Bez względu na to, jakie rozwiązanie techniczne wymyślisz, ktoś znajdzie rozwiązanie. Jeśli poważnie podchodzisz do tego (a nie tylko po to, by zniechęcać do przypadkowego pobierania lub wypełniać jakiś mandat polityczny bez twarzy), proszę ,

Porozmawiaj z użytkownikami!

Wyjaśnij, dlaczego blokujesz to, co blokujesz. Pomóż im zrozumieć znaczenie tego. A potem ich wysłuchaj, gdy powiedzą ci, dlaczego nadal muszą pobierać pliki wykonywalne, i pomóż im znaleźć sposób na wykonanie swojej pracy bez utrudniania pracy.

Przez lata jeden z naszych dostawców miał system podobny do twojego. Niestety byli oni również odpowiedzialni za regularne aktualizowanie oprogramowania do wyceny, a podczas testowania pliki wykonywalne często podróżowały w obie strony między naszymi sieciami. Ze względu na filtry wszyscy mamy zwyczaj zmieniania nazw plików (.exe -> .ear itp.), Kompresowania ich, kompresji, a następnie zmiany nazwy, nawet przy użyciu komputerów osobistych w celu przeniesienia ... nie tylko podważając ograniczenia i zwiększając potencjalne zagrożenie dla obu firm, ale także niszcząc znaczną część naszego szacunku dla tych, którzy stoją za ograniczeniami.

W końcu ktoś dostał wiadomość i skonfigurował bezpieczny serwer FTP, abyśmy mogli z niego korzystać.

Zbyt powszechne jest skupianie się na technicznej stronie rzeczy i zapominanie o zaradnych ludziach, którzy muszą poradzić sobie z ich konsekwencjami. Oczywiście, jeśli już to robisz, to więcej mocy dla ciebie!

Najprostszy sposób, jeśli masz odpowiedni dostęp do świata zewnętrznego: zaszyfruj plik, pobierz go, odszyfruj. Może zajść potrzeba zmiany rozszerzenia pliku na coś, czego skaner nie rozpozna, ale w zasadzie zawartość będzie „nieskanowalna” przy założeniu rozsądnego szyfrowania.

Cholera, tylko plik zip chroniony hasłem może działać - jeśli nie jest jawnie zablokowany.

Jeśli zdecydujesz się na dopuszczanie tylko treści, które rozumiesz i akceptujesz, może to być bardziej skuteczne - a także bardziej bolesne dla wszystkich zainteresowanych, z powodu fałszywych wyników pozytywnych.

Zmień rozszerzenie pliku na .pdf. Z tego, co widziałem, większość kontrolerów zakłada, że ​​jest to plik pdf (ponieważ pliki PDF są plikami binarnymi) i przepuszcza go.

Tak więc [inteligentnemu] użytkownikowi jest dość łatwo skonfigurować i używać zewnętrznego serwera proxy. Zainstaluj coś takiego jak Proxifier i Http-Tunnel Client i możesz zacząć. Bezpłatne serwery proxy są powolne, ale roczna subskrypcja jest dość tania i osiąga dobrą wydajność. To rozwiązanie skutecznie tworzy prywatny, zaszyfrowany, niezabezpieczony tunel przez kanał HTTP i niewiele można na to poradzić.

Wdrożyliśmy różnego rodzaju środki w sieci firmowej i serwerze proxy, aby zapobiec pobieraniu określonych typów plików na maszyny firmy.

Możesz iść na to w niewłaściwy sposób. Windows Active Directory pozwoli ci ustawić zasady blokujące określone pliki wykonywalne lub, bardziej praktycznie, zezwalają na uruchamianie tylko niektórych plików wykonywalnych. Musisz poświęcić trochę czasu, upewniając się, że wszystkie aplikacje znajdują się na liście wyjątków, ale wtedy możesz po prostu zatrzymać uruchamianie każdego innego pliku wykonywalnego.

Wiem, że to najlepsze rozwiązanie do filtrowania stron internetowych, takie jak Websense. Możesz ustawić rozszerzenie filtra, a ponieważ może on wykonywać wyrażenia regularne, możesz zatrzymać te proste małe sztuczki.

Jednak tam, gdzie jest wola, jest sposób. Musisz więc mieć silną politykę korzystania z Internetu z zębami, które łańcuch zarządzania faktycznie wspiera i egzekwuje, i musisz wydobyć wyniki filtrowania sieci, aby sprawdzić, czy ktoś wymyśli inne sposoby obejścia wybranego rozwiązania.

Innym sposobem jest pasywny FTP. Większość sieci zezwala wszystkim połączeniom wychodzącym na opuszczenie zapory od wewnątrz i powrót. Zwykły FTP używa jednego portu połączenia, a następnie jednego portu transportu danych, który można łatwo zablokować w zaporze, ponieważ drugi port danych jest inicjowany na zewnątrz. Pasywny FTP inicjuje jednak port przesyłania danych z wewnętrznego komputera, co jest dozwolone w większości domyślnych konfiguracji zapory ogniowej ... przynajmniej w świecie Cisco.

Możesz być w stanie uruchomić komputer z LiveCD i używać wget do pobierania plików, które są blokowane przez środki Windows po stronie klienta. Jeśli pliki są nadal blokowane przez sieć, być może możesz uruchomić tunel VPN na innym komputerze i pobrać je przez to.