Come posso scaricare un file eseguibile all'interno della rete aziendale quando è stato bloccato?

A prima vista potrebbe sembrare una domanda sciocca (o nefasta), ma mi permette di elaborare ...

Abbiamo implementato tutti i tipi di misure sulla rete aziendale e sul proxy per impedire il download di determinati tipi di file sui computer aziendali. La maggior parte dei file, anche i file zip all'interno di exe, vengono bloccati quando si fa clic per scaricare quei file.

Ma alcuni utenti "intraprendenti" riescono ancora a far funzionare i download. Ad esempio, ero dietro a qualcuno (che non mi conosceva o in quale reparto ho lavorato), che davanti ai nostri occhi ha cambiato un URL che si è concluso con ".exe" in ".exe?" E il browser è andato subito avanti e scaricato il tipo di file "sconosciuto". Da allora abbiamo colmato questa lacuna, ma mi piacerebbe sapere se qualcun altro è a conoscenza di mezzi nefasti per scaricare file aggirando la sicurezza della rete e controllando il software.

O forse se conosci qualche software commerciale che puoi imprecare è a prova di proiettile e possiamo provarlo per un po '.

Qualsiasi aiuto apprezzato ...

Indipendentemente dalla soluzione tecnica che ti viene in mente, qualcuno troverà un modo per aggirarlo. Se sei serio su questo (e non lo fai solo per scoraggiare i download casuali o adempiere a un mandato politico senza volto), per favore, per favore ,

Parla con i tuoi utenti!

Spiega perché stai bloccando ciò che stai bloccando. Aiutali a capirne l'importanza. E poi ascoltali quando ti dicono perché hanno ancora bisogno di scaricare file eseguibili e aiutali a trovare un modo per fare il loro lavoro senza renderlo più difficile.

Per anni, uno dei nostri fornitori ha messo in atto un sistema simile al tuo. Sfortunatamente, erano anche responsabili di fornirci aggiornamenti regolari al loro software di determinazione dei prezzi e durante i test era frequente che gli eseguibili viaggiassero spesso avanti e indietro tra le nostre reti. A causa dei filtri, abbiamo preso l'abitudine di rinominare i file (.exe -> .ear, ecc.), Comprimerli, comprimerli e poi rinominarli, anche usando macchine personali per trasferirli ... non solo sovvertendo le restrizioni e amplificando il potenziale pericolo per entrambe le società, ma distruggendo anche gran parte del nostro rispetto per coloro che stanno dietro le restrizioni.

Alla fine, qualcuno ha ricevuto il messaggio e ha creato un server FTP sicuro che possiamo usare.

È fin troppo comune concentrarsi sul lato tecnico delle cose e dimenticare gli esseri umani intraprendenti che devono affrontarne le conseguenze. Naturalmente, se lo stai già facendo, allora più potere per te!

Il modo più semplice se si dispone dell'accesso appropriato nel mondo esterno: crittografare il file, scaricarlo, decrittografarlo. Potrebbe essere necessario modificare l'estensione del file in qualcosa che lo scanner non riconoscerà, ma fondamentalmente il contenuto sarà "non digitalizzabile" supponendo che tu utilizzi una crittografia ragionevole.

Diamine, potrebbe funzionare solo un file zip protetto da password , se non sono esplicitamente bloccati.

Se cerchi solo di consentire il contenuto che comprendi e approvi, potrebbe essere più efficace - e anche più doloroso per tutti gli interessati, a causa di falsi positivi.

Cambia l'estensione del file in .pdf. Da quello che ho visto la maggior parte dei controllori supporrà che sia un pdf (poiché i pdf sono file binari) e lo fa passare.

Quindi è abbastanza facile per un utente [intelligente] configurare e utilizzare un proxy esterno. Installa qualcosa come Proxifier e Http-Tunnel Client e sei a posto. I server proxy gratuiti sono lenti, ma un abbonamento annuale è piuttosto economico e ottiene buone prestazioni. Questa soluzione crea in modo efficace un tunnel privato, crittografato e non protetto attraverso il tuo canale HTTP e non c'è molto che puoi fare al riguardo.

Abbiamo implementato tutti i tipi di misure sulla rete aziendale e sul proxy per impedire il download di determinati tipi di file sui computer aziendali.

Potresti andare in questo modo nel modo sbagliato. Windows Active Directory ti consentirà di impostare un criterio per bloccare specifici file eseguibili o, più praticamente, consentire l'esecuzione solo di determinati file eseguibili. Devi passare un po 'di tempo per assicurarti che tutte le tue applicazioni siano nell'elenco delle eccezioni, ma puoi semplicemente interrompere l'esecuzione di ogni altro eseguibile.

Conosco una soluzione di filtraggio web top di gamma come Websense può fare questo. È possibile impostare un'estensione del filtro e poiché è in grado di eseguire regex, è possibile interrompere quei piccoli trucchi semplici.

Tuttavia, dove c'è una volontà, c'è un modo. Quindi dovrai avere una forte politica di utilizzo di Internet con i denti che la catena di gestione effettivamente sostiene e applica e dovrai estrarre i risultati del tuo filtro web per vedere se qualcuno sta cercando altri modi per aggirare la soluzione scelta.

Un altro modo è tramite FTP passivo . La maggior parte delle reti consente a tutte le connessioni in uscita di lasciare il firewall dall'interno e tornare. L'FTP normale utilizzerà una porta di connessione e quindi una porta di trasporto dati che è facile da bloccare su un firewall perché la seconda porta dati viene avviata all'esterno. FTP passivo, tuttavia, avvia la porta di trasferimento dei dati dal PC interno, che è consentito nella maggior parte delle configurazioni firewall predefinite ... almeno nel mondo Cisco.

Potresti essere in grado di eseguire l'avvio da un LiveCD e utilizzare wget per scaricare file che sono bloccati dalle misure di Windows sul lato client. Se i file sono ancora bloccati dalla rete, potresti essere in grado di avviare un tunnel VPN su un altro computer e scaricarli attraverso quello.