Как я могу загрузить исполняемый файл в сети компании, когда он заблокирован?

На первый взгляд это может показаться глупым (или гнусным) вопросом, но позвольте мне остановиться подробнее ...

Мы внедрили всевозможные меры в корпоративной сети и прокси, чтобы предотвратить загрузку файлов определенных типов на компьютеры компании. Большинство файлов, даже zip-файлы с exe-файлами внутри, блокируются при нажатии для загрузки этих файлов.

Но некоторым «предприимчивым» пользователям все же удается заставить загрузки работать. Например, я стоял за кем-то (кто не знал меня или в каком отделе я работал), который на наших глазах изменил URL-адрес, заканчивающийся на «.exe», на «.exe?», И браузер пошел прямо сейчас и скачал "неизвестный" тип файла. С тех пор мы закрыли эту дыру, но я хотел бы знать, знает ли кто-нибудь еще о каких-либо гнусных способах загрузки файлов в обход безопасности сети и проверки программного обеспечения.

Или, может быть, если вы знаете, что какое-то коммерческое программное обеспечение, которое вы можете поклясться, является пуленепробиваемым, и мы можем попробовать его некоторое время.

Любая помощь приветствуется ...

Независимо от того, какое техническое решение вы придумали, кто-то найдет способ обойти это. Если вы серьезно относитесь к этому (а не просто делаете это для предотвращения случайных загрузок или выполнения какого-то безликого политического мандата), то, пожалуйста, пожалуйста ,

Поговорите с вашими пользователями!

Объясните, почему вы блокируете то, что блокируете. Помогите им понять важность этого. А затем послушайте их, когда они скажут вам, почему им все еще нужно загружать исполняемые файлы, и помогите им найти способ выполнять свою работу, не усложняя вашу работу.

В течение многих лет у одного из наших поставщиков была система, аналогичная вашей. К сожалению, они также отвечали за предоставление нам регулярных обновлений своего программного обеспечения для определения цены, и во время тестирования исполняемые файлы часто перемещались между нашими сетями и обратно. Благодаря фильтрам мы все привыкли переименовывать файлы (.exe -> .ear и т. Д.), Сжимать их, сжимать, а затем переименовывать, даже используя персональные машины для их передачи ... не только подрывая ограничения и усиливая потенциальную опасность для обеих компаний, но также разрушая наше уважение к тем, кто стоит за ограничениями.

Наконец, кто-то получил сообщение и настроил для нас защищенный FTP-сервер.

Слишком часто можно сосредоточиться на технической стороне вещей и забыть о находчивых людях, которые должны справляться с их последствиями. Естественно, если вы уже делаете это, тогда вам больше сил!

Самый простой способ, если у вас есть соответствующий доступ во внешнем мире: зашифровать файл, загрузить его, расшифровать. Возможно, вам придется изменить расширение файла на то, что сканер не сможет распознать, но в основном содержимое будет «не сканируемым», если вы используете разумное шифрование.

Черт возьми, может работать только zip-файл, защищенный паролем, если он явно не заблокирован.

Если вы хотите разрешить только то содержание, которое вы понимаете и одобряете, это может быть более эффективным, а также более болезненным для всех заинтересованных сторон из-за ложных срабатываний.

Измените расширение файла на .pdf. Из того, что я видел, большинство контролеров предположит, что это pdf (поскольку pdf - это двоичные файлы), и пропустит его.

Таким образом, [умному] пользователю довольно легко настроить и использовать внешний прокси. Установите что-то вроде Proxifier и Http-Tunnel Client, и все готово . Бесплатные прокси-серверы работают медленно, но годовая подписка довольно дешева и дает хорошую производительность. Это решение эффективно создает частный, зашифрованный, незащищенный туннель через ваш канал HTTP, и с этим ничего не поделаешь.

Мы внедрили всевозможные меры в корпоративной сети и прокси, чтобы предотвратить загрузку файлов определенных типов на компьютеры компании.

Вы можете пойти по этому неправильному пути. Windows Active Directory позволит вам установить политику для блокировки определенных исполняемых файлов или, на практике, разрешить запуск только определенных исполняемых файлов. Вам нужно потратить немного времени, чтобы убедиться, что все ваши приложения находятся в списке исключений, но затем вы можете просто остановить запуск любого другого исполняемого файла.

Я знаю, что решение для веб-фильтрации, такое как Websense, может это сделать. Вы можете установить расширение фильтра и, так как он способен выполнять регулярные выражения, вы можете остановить эти простые маленькие трюки.

Однако там, где есть воля, есть способ. Таким образом, у вас должна быть строгая политика использования Интернета с зубами, которую на самом деле поддерживает и применяет цепочка управления, и вам нужно будет проанализировать результаты вашей веб-фильтрации, чтобы выяснить, не находят ли другие способы обхода выбранного вами решения.

Другой способ - через пассивный FTP. Большинство сетей позволяют всем исходящим соединениям выходить из межсетевого экрана изнутри и возвращаться. Обычный FTP будет использовать один порт подключения, а затем один порт передачи данных, который легко заблокировать на брандмауэре, поскольку второй порт данных инициируется снаружи. Пассивный FTP, однако, инициирует порт передачи данных с внутреннего компьютера, что разрешено в большинстве конфигураций брандмауэра по умолчанию ... по крайней мере, в мире Cisco.

Вы можете загружаться с LiveCD и использовать wget для загрузки файлов, которые заблокированы клиентскими мерами Windows. Если файлы по-прежнему заблокированы сетью, возможно, вы сможете запустить VPN-туннель к другому компьютеру и загрузить их через него.