На первый взгляд это может показаться глупым (или гнусным) вопросом, но позвольте мне уточнить ...
Мы реализовали всевозможные меры в корпоративной сети и прокси-сервере, чтобы предотвратить загрузку файлов определенных типов на компьютеры компании. Большинство файлов, даже zip-файлы с исполняемым файлом внутри, блокируются при нажатии на загрузку этих файлов.
Но некоторым «предприимчивым» пользователям все же удается заставить загрузку работать. Например, я стоял за кем-то (который не знал меня и в каком отделе я работал), кто на наших глазах изменил URL-адрес, заканчивающийся с «.exe» на «.exe?», И браузер отключился. прямо вперед и скачал "неизвестный" тип файла. С тех пор мы закрыли эту дыру, но я хотел бы знать, знает ли кто-нибудь еще о каких-либо гнусных способах загрузки файлов в обход сетевой безопасности и проверки программного обеспечения.
Или, возможно, если вы знаете какое-то коммерческое программное обеспечение, которое, как вы можете поклясться, является пуленепробиваемым, и мы можем какое-то время его опробовать.
Любая помощь приветствуется ...
Независимо от того, какое техническое решение вы придумаете, кто-то найдет способ его обойти. Если вы серьезно относитесь к этому (а не просто делаете это для предотвращения случайных загрузок или выполнения каких-то безликих правил политики), тогда, пожалуйста, пожалуйста,
Поговорите со своими пользователями!
Объясните, почему вы блокируете то, что блокируете. Помогите им понять важность этого. А потом Слушать им, когда они скажут вам, почему им все еще нужно загружать исполняемые файлы, и помогут им найти способ выполнять свою работу, не усложняя вашу работу.
В течение многих лет у одного из наших поставщиков была система, аналогичная вашей. К сожалению, они также несли ответственность за предоставление нам регулярных обновлений своего программного обеспечения для ценообразования, и во время тестирования исполняемые файлы часто перемещались между нашими сетями и обратно. Из-за фильтров у всех нас просто появилась привычка переименовывать файлы (.exe -> .ear и т. Д.), Сжимать их, сжимать, а затем переименовывать их, даже используя личные машины для их передачи ... не только нарушая ограничения и усиливая потенциальную опасность для обеих компаний, но также разрушая большую часть нашего уважения к тем, кто стоит за ограничениями.
Наконец, кто-то получил сообщение и настроил для нас защищенный FTP-сервер.
Слишком часто приходится сосредотачиваться на технической стороне вещей и забывать о находчивых людях, которые должны справляться с их последствиями. Естественно, если вы уже делаете это, тогда вам больше сил!
Самый простой способ, если у вас есть соответствующий доступ из внешнего мира: зашифруйте файл, загрузите его, расшифруйте. Возможно, вам придется изменить расширение файла на то, что сканер не сможет распознать, но в основном содержимое будет «не поддающимся сканированию», если вы используете разумное шифрование.
Черт возьми, просто защищенный паролем zip-файл мощь работают - если они не заблокированы явно.
Если вы пойдете только позволяя контент, который вы понимаете и одобряете, который может быть более эффективным - а также более болезненным для всех заинтересованных сторон из-за ложных срабатываний.
Измените расширение файла на .pdf. Из того, что я видел, большинство проверяющих предполагают, что это pdf (поскольку pdf-файлы являются двоичными файлами), и пропускают его.
Таким образом, для [умного] пользователя довольно легко настроить и использовать внешний прокси. Установите что-нибудь вроде Проксификатор и Клиент HTTP-туннеля и тебе хорошо идти. Бесплатные прокси-серверы работают медленно, но годовая подписка стоит довольно дешево и обеспечивает хорошую производительность. Это решение эффективно создает частный, зашифрованный, незащищенный туннель через ваш HTTP-канал, и вы мало что можете с этим поделать.
Мы реализовали всевозможные меры в корпоративной сети и прокси-сервере, чтобы предотвратить загрузку файлов определенных типов на компьютеры компании.
Возможно, вы идете неправильным путем. Windows Active Directory позволит вам установить политику для блокировки определенных исполняемых файлов или, что более практично, разрешить запуск только определенных исполняемых файлов. Вам нужно потратить немного времени на то, чтобы убедиться, что все ваши приложения находятся в списке исключений, но тогда вы можете просто остановить запуск всех остальных исполняемых файлов.
Я знаю, что лучшее решение для веб-фильтрации, такое как Websense, может это сделать. Вы можете настроить расширение фильтра, и, поскольку оно способно выполнять регулярное выражение, вы можете остановить эти простые маленькие уловки.
Однако там, где есть желание, есть выход. Таким образом, у вас должна быть строгая политика использования Интернета с зубами, которые цепочка управления фактически поддерживает и обеспечивает, и вам нужно будет проанализировать результаты вашей веб-фильтрации, чтобы увидеть, не находит ли кто-нибудь другие способы обхода выбранного вами решения.
Другой способ - через пассивный FTP. Большинство сетей позволяют всем исходящим соединениям покинуть брандмауэр изнутри и вернуться. Обычный FTP будет использовать один порт подключения, а затем один порт передачи данных, который легко заблокировать с помощью брандмауэра, поскольку второй порт данных инициируется извне. Однако пассивный FTP инициирует порт передачи данных с внутреннего компьютера, что разрешено в большинстве конфигураций брандмауэра по умолчанию ... по крайней мере, в мире Cisco.
Вы можете загрузиться с LiveCD и использовать wget для загрузки файлов, заблокированных клиентскими мерами Windows. Если файлы по-прежнему заблокированы сетью, вы можете запустить VPN-туннель на другой компьютер и загрузить их через него.