Como posso baixar um arquivo executável dentro da rede da empresa quando ele está bloqueado?

Isso pode parecer uma pergunta boba (ou nefasta) à primeira vista, mas permita-me elaborar ...

Implementamos todos os tipos de medidas na rede e no proxy da empresa para impedir o download de certos tipos de arquivos nas máquinas da empresa. A maioria dos arquivos, mesmo os arquivos zip com exe dentro, são bloqueados ao clicar para fazer o download desses arquivos.

Mas alguns usuários "empreendedores" ainda conseguem fazer os downloads funcionarem. Por exemplo, eu estava atrás de alguém (que não me conhecia ou em qual departamento eu trabalhava), que diante de nossos olhos mudou uma URL que terminava com ".exe" para ".exe?" E o navegador foi desativado logo em frente e baixou o tipo de arquivo "desconhecido". Desde então, resolvemos esse problema, mas eu gostaria de saber se mais alguém conhece algum meio nefasto de baixar arquivos ignorando a segurança da rede e verificando o software.

Ou talvez, se você souber de algum software comercial que possa jurar ser à prova de balas, e que possamos testá-lo por um tempo.

Qualquer ajuda apreciada ...

Independentemente da solução técnica que você encontrar, alguém encontrará uma maneira de contornar isso. Se você é sério sobre isso (e não apenas o faz para desencorajar downloads casuais ou cumprir algum mandato de política sem rosto), por favor, por favor ,

Converse com seus usuários!

Explique por que você está bloqueando o que está bloqueando. Ajude-os a entender a importância disso. E, em seguida, ouça -os quando eles lhe disserem por que ainda precisam fazer o download de arquivos executáveis ​​e ajudá-los a encontrar uma maneira de realizar seus trabalhos sem dificultar seu trabalho.

Durante anos, um de nossos fornecedores possuía um sistema semelhante ao seu. Infelizmente, eles também foram responsáveis ​​por nos fornecer atualizações regulares de seus softwares de precificação e, durante os testes, era comum os executáveis ​​viajarem frequentemente entre nossas redes. Devido aos filtros, todos nós adquirimos o hábito de renomear arquivos (.exe -> .ear, etc.), compactá-los, compactá-los e renomeá-los, mesmo usando máquinas pessoais para transferi-los ... não apenas subvertendo as restrições e ampliando o perigo potencial para ambas as empresas, mas também destruindo muito do nosso respeito por aqueles que estão por trás das restrições.

Finalmente, alguém recebeu a mensagem e configurou um servidor FTP seguro para usarmos.

É muito comum se concentrar no lado técnico das coisas e esquecer os humanos engenhosos que precisam lidar com as conseqüências delas. Naturalmente, se você já está fazendo isso, terá mais poder para você!

Maneira mais simples, se você tiver acesso apropriado no mundo exterior: criptografar o arquivo, fazer o download, descriptografar. Pode ser necessário alterar a extensão do arquivo para algo que o scanner não reconhecerá, mas basicamente o conteúdo será "impossível de digitalizar", desde que você use uma criptografia razoável.

Caramba, apenas um arquivo zip protegido por senha pode funcionar - se não estiver explicitamente bloqueado.

Se você apenas permitir conteúdo que você entende e aprova, isso pode ser mais eficaz - e também mais doloroso para todos os envolvidos, devido a falsos positivos.

Mude a extensão do arquivo para .pdf. Pelo que eu vi, a maioria das damas assumirá que é um pdf (já que os pdfs são arquivos binários) e deixar passar.

Portanto, é muito fácil para um usuário [inteligente] configurar e usar um proxy externo. Instale algo como Proxifier e Http-Tunnel Client e pronto. Os servidores proxy gratuitos são lentos, mas uma assinatura anual é bem barata e obtém um bom desempenho. Essa solução cria efetivamente um túnel privado, criptografado e não seguro através do seu canal HTTP e não há muito o que você possa fazer.

Implementamos todos os tipos de medidas na rede e no proxy da empresa para impedir o download de certos tipos de arquivos nas máquinas da empresa.

Você pode estar indo para o lado errado. O Windows Active Directory permitirá que você defina uma política para bloquear arquivos executáveis ​​específicos ou, mais praticamente, permita apenas a execução de determinados arquivos executáveis. Você precisa gastar um pouco de tempo certificando-se de que todos os seus aplicativos estejam na lista de exceções, mas pode simplesmente interromper a execução de qualquer outro executável.

Sei que uma solução de filtragem da web de ponta, como o Websense, pode fazer isso. Você pode configurar uma extensão de filtro e, como é capaz de executar regex, pode parar esses pequenos truques simples.

No entanto, onde há vontade, há um caminho. Portanto, você precisará ter uma política forte de uso da Internet com os dentes que a cadeia de gerenciamento realmente apóia e aplica, além de explorar os resultados de sua filtragem da Web para ver se alguém está descobrindo outras maneiras de contornar a solução escolhida.

Outra maneira é via FTP passivo . A maioria das redes permite que todas as conexões de saída deixem o firewall por dentro e retornem. O FTP comum usará uma porta de conexão e, em seguida, uma porta de transporte de dados que é fácil de bloquear em um firewall, porque a segunda porta de dados é iniciada do lado de fora. No entanto, o FTP passivo inicia a porta de transferência de dados a partir do PC interno, o que é permitido na maioria das configurações de firewall padrão ... pelo menos no mundo da Cisco.

Você pode inicializar a partir de um LiveCD e usar o wget para baixar arquivos bloqueados pelas medidas do Windows do lado do cliente. Se os arquivos ainda estiverem bloqueados pela rede, você poderá iniciar um túnel VPN para outra máquina e fazer o download deles.