Як я можу завантажити виконавчий файл всередині мережі компанії, коли він заблокований?

Це може здатися дурним (або кричущим) питанням на перший погляд, але дозвольте мені детальніше розібратися ...

Ми впровадили всілякі заходи в мережевій компанії та проксі для запобігання завантаженню певних типів файлів на машини компанії. Більшість файлів, навіть поштові файли з exe всередині, блокуються при натисканні, щоб завантажити ці файли.

Але деяким «заповзятливим» користувачам все ж вдається отримати завантаження для роботи. Наприклад, я стояв позаду когось (хто мене не знав чи в якому відділі я працював), хто перед нашими очима змінив URL-адресу, яка закінчилася на ".exe" на ".exe?", І браузер пішов прямо вперед і завантажив "невідомий" тип файлу. Ми відтоді заткнули цю дірку, але хотілося б знати, чи хтось ще знає про якісь нечесні способи завантаження файлів в обхід мережевої безпеки та перевірку програмного забезпечення.

Або, можливо, якщо ви знаєте якесь комерційне програмне забезпечення, яке ви можете посягати, це куленепробивне, і ми можемо його пробувати деякий час.

Будь-яка допомога вдячна ...

Незалежно від того, яке технічне рішення ви придумали, хтось знайде шлях. Якщо ви серйозно ставитесь до цього (а не просто робите це, щоб відмовити від випадкових завантажень або виконати якийсь безликий політичний мандат), то, будь ласка, будь ласка ,

Поговоріть зі своїми користувачами!

Поясніть, чому ви блокуєте те, що блокуєте. Допоможіть їм зрозуміти важливість цього. А потім слухайте їх, коли вони скажуть вам, чому їм ще потрібно завантажувати виконувані файли, і допоможіть їм знайти спосіб виконувати свою роботу, не ускладнюючи вашу роботу.

Протягом багатьох років у одного з наших постачальників була створена система, схожа на вашу. На жаль, вони також відповідали за регулярне оновлення їх програмного забезпечення для ціноутворення, і під час тестування зазвичай виконувані файли часто пересувалися між нашими мережами. Завдяки фільтрам, ми все просто звикли перейменовувати файли (.exe -> .ear тощо), стискати їх, стискати, потім перейменовувати їх, навіть використовуючи особисті машини для їх передачі ... не тільки підриваючи обмеження і посилює потенційну небезпеку для обох компаній, але також знищує значну частину нашої поваги до тих, хто стоїть за обмеженнями.

Нарешті, хтось отримав повідомлення та встановив захищений FTP-сервер для нас.

Все занадто звичайно зосереджуватися на технічній стороні речей і забувати про винахідливих людей, які повинні боротися з наслідками їх. Природно, якщо ти вже це робиш, то більше сил тобі!

Найпростіший спосіб, якщо у вас є відповідний доступ у зовнішній світ: зашифруйте файл, завантажте його, розшифруйте. Можливо, вам доведеться змінити розширення файлу на те, що сканер не розпізнає, але в основному вміст буде "неможливим", якщо використовувати розумне шифрування.

Чорт забирає, що лише захищений паролем zip-файл може працювати - якщо вони явно не заблоковані.

Якщо ви хочете лише дозволити вміст, який ви розумієте та схвалюєте, це може виявитися більш ефективним - а також більш болючим для всіх зацікавлених, через помилкові позитиви.

Змініть розширення файлу на .pdf. З того, що я бачив, більшість шашок припустить, що це pdf (оскільки pdfs - це бінарні файли), і пропустити його.

Таким чином, для [розумного] користувача досить легко налаштувати та використовувати зовнішній проксі. Встановіть щось на кшталт Proxifier та Http-Tunnel Client, і ви вже готові йти. Безкоштовні проксі-сервери повільні, але щорічна підписка досить дешева і отримує хороші показники. Це рішення ефективно створює приватний, зашифрований, незахищений тунель через ваш HTTP-канал, і ви не можете багато з цим зробити.

Ми впровадили всілякі заходи в мережевій компанії та проксі для запобігання завантаженню певних типів файлів на машини компанії.

Ви можете йти цим неправильним шляхом. Windows Active Directory дозволить вам встановити політику для блокування певних виконуваних файлів або, що більш практично, дозволити запускати лише певні виконувані файли. Вам доведеться витратити трохи часу, переконавшись, що всі ваші програми знаходяться у списку винятків, але тоді ви можете просто зупинити всі інші виконувані програми.

Я знаю, що вершина лінійки веб-фільтрації, як Websense, може це зробити. Ви можете встановити розширення фільтра вгору, і оскільки він здатний виконувати регулярні вирази, ви можете зупинити ці прості маленькі хитрощі.

Однак там, де є воля, є спосіб. Тому вам потрібно мати чітку політику використання Інтернету із зубами, які ланцюжок управління насправді підтримує та застосовує, і вам потрібно буде видобути результати вашої веб-фільтрації, щоб побачити, чи хтось з'ясовує інші способи обходу обраного вами рішення.

Інший спосіб - через пасивний FTP. Більшість мереж дозволяють усім вихідним з'єднанням залишити брандмауер зсередини та повернутися. Регулярний FTP використовуватиме один порт з'єднання, а потім один порт передачі даних, який легко блокувати на брандмауері, оскільки другий порт даних ініціюється зовні. Пасивний FTP, однак, ініціює порт передачі даних з внутрішнього ПК, що дозволено в більшості конфігурацій брандмауера за замовчуванням ... принаймні у світі Cisco.

Можливо, ви зможете завантажуватися з LiveCD і використовувати wget для завантаження файлів, заблокованих за допомогою клієнтських заходів Windows. Якщо файли все ще заблоковані мережею, можливо, ви зможете запустити тунель VPN на іншу машину і завантажити їх через це.