Como posso baixar um arquivo executável dentro da rede da empresa quando ele está bloqueado?

13

Isso pode parecer uma pergunta boba (ou nefasta) à primeira vista, mas permita-me elaborar ...

Implementamos todos os tipos de medidas na rede e no proxy da empresa para impedir o download de determinados tipos de arquivos nas máquinas da empresa. A maioria dos arquivos, até mesmo os arquivos zip com o exe, ficam bloqueados ao clicar para baixar esses arquivos.

Mas alguns usuários "empreendedores" ainda conseguem fazer com que os downloads funcionem. Por exemplo, eu estava em pé atrás de alguém (que não me conhecia ou em qual departamento eu trabalhei), que na frente de nossos olhos mudou uma URL que terminou com ".exe" para ".exe?", E o navegador foi à frente e baixado o tipo de arquivo "desconhecido". Desde então, nós conectamos esse buraco, mas eu gostaria de saber se alguém mais conhece algum meio nefário de baixar arquivos ignorando a segurança da rede e verificando o software.

Ou talvez, se você souber de algum software comercial que possa jurar, seja à prova de balas e possamos testá-lo por um tempo.

Qualquer ajuda apreciada ...

    
por RobertTheGrey 30.04.2009 / 23:00

8 respostas

18

Independentemente da solução técnica que você venha a apresentar, alguém encontrará uma solução para isso. Se você é sério sobre isso (e não apenas fazê-lo para desencorajar downloads casuais ou cumprir algum mandato político sem rosto), por favor, por favor ,

Converse com seus usuários!

Explique por que você está bloqueando o que está bloqueando. Ajude-os a entender a importância disso. E então escute para eles quando eles lhe disserem por que eles ainda precisam baixar arquivos executáveis, e ajudá-los a encontrar uma maneira de fazer seu trabalho sem tornar seu trabalho mais difícil.

Durante anos, um dos nossos fornecedores tinha um sistema semelhante ao seu no local. Infelizmente, eles também eram responsáveis por nos fornecer atualizações regulares de seu software de preços, e durante os testes era comum que os executáveis viajassem frequentemente entre as nossas redes. Devido aos filtros, todos nós temos o hábito de renomear arquivos (.exe - > .ear, etc.), compactando-os, compactando e renomeando-os, mesmo usando máquinas pessoais para transferi-los ... não apenas subvertendo o arquivo restrições e ampliando o perigo potencial para ambas as empresas, mas também destruindo muito do nosso respeito por aqueles por trás das restrições.

Finalmente, alguém recebeu a mensagem e configurou um servidor FTP seguro para nós usarmos.

É muito comum se concentrar no lado técnico das coisas, e esquecer os humanos engenhosos que precisam lidar com as conseqüências deles. Naturalmente, se você já está fazendo isso, então mais poder para você!

    
por 30.04.2009 / 23:29
9

A maneira mais simples se você tem acesso apropriado no mundo exterior: criptografe o arquivo, baixe-o, descriptografe-o. Pode ser necessário alterar a extensão do arquivo para algo que o scanner não reconhecerá, mas basicamente o conteúdo será "não verificável", supondo que você use uma criptografia razoável.

Heck, apenas um arquivo zip protegido por senha pode funcionar - se não estiver explicitamente bloqueado.

Se você optar por apenas permitir conteúdo que você entenda e aprove, isso pode ser mais eficaz - e também mais doloroso para todos os envolvidos, devido a falsos positivos.

    
por 30.04.2009 / 23:04
4

Altere a extensão do arquivo para .pdf. Pelo que vi, a maioria das damas presumirá que é um pdf (já que os arquivos PDF são binários) e deixa passar.

    
por 30.04.2009 / 23:09
2

Portanto, é muito fácil para um usuário [inteligente] configurar e usar um proxy externo. Instale algo como Proxifier e Http-Tunnel Client e você está pronto para ir. Os servidores proxy gratuitos são lentos, mas uma assinatura anual é bastante barata e obtém bom desempenho. Esta solução efetivamente cria um túnel privado, criptografado e não seguro através do seu canal HTTP e não há muito o que fazer sobre isso.

    
por 30.04.2009 / 23:08
1

Eu sei que uma solução de filtragem da Web top de linha, como a Websense, pode fazer isso. Você pode configurar uma extensão de filtro e, como ela é capaz de fazer regex, você pode parar esses pequenos truques simples.

No entanto, onde há uma vontade, há um caminho. Portanto, você precisará ter uma política strong de uso da Internet com dentes que a cadeia de gerenciamento realmente apoie e reforce, e você precisará extrair os resultados de sua filtragem da Web para ver se alguém está descobrindo outras maneiras de contornar a solução escolhida.

    
por 30.04.2009 / 23:06
1

We have implemented all sorts of measures on the company network and proxy to prevent the download of certain file types on to company machines.

Você pode estar indo para o caminho errado. O Active Directory do Windows permitirá que você defina uma política para bloquear arquivos executáveis específicos ou, na prática, permitir que apenas certos arquivos executáveis sejam executados. Você tem que gastar um pouco de tempo certificando-se de que todos os seus aplicativos estão na lista de exceções, mas você pode simplesmente parar todos os outros executáveis que estão sendo executados.

    
por 01.05.2009 / 00:37
1

Outra maneira é via FTP passivo . A maioria das redes permite que todas as conexões de saída deixem o firewall de dentro e retornem. FTP regular vai usar uma porta de conexão e, em seguida, uma porta de transporte de dados que é fácil de bloquear em um firewall, porque a segunda porta de dados é iniciada no exterior. O FTP passivo, no entanto, inicia a porta de transferência de dados do PC interno, o que é permitido na maioria das configurações de firewall padrão ... pelo menos no mundo da Cisco.

    
por 01.05.2009 / 00:40
0

Você pode inicializar a partir de um LiveCD e usar o wget para baixar arquivos bloqueados pelas medidas do Windows no lado do cliente. Se os arquivos ainda estiverem bloqueados pela rede, você poderá iniciar um túnel de VPN para outra máquina e baixá-los através disso.

    
por 17.06.2009 / 05:58