Comment puis-je télécharger un fichier exécutable à l'intérieur du réseau de l'entreprise lorsqu'il a été verrouillé?

Cela peut sembler une question idiote (ou néfaste) à première vue, mais permettez-moi de développer ...

Nous avons mis en place toutes sortes de mesures sur le réseau et le proxy de l'entreprise pour empêcher le téléchargement de certains types de fichiers sur les ordinateurs de l'entreprise. La plupart des fichiers, même les fichiers zip avec des exes à l'intérieur, sont bloqués lorsque vous cliquez pour télécharger ces fichiers.

Mais certains utilisateurs "entreprenants" parviennent toujours à faire fonctionner les téléchargements. Par exemple, je me tenais derrière quelqu'un (qui ne me connaissait pas ou dans quel département je travaillais), qui devant nos yeux a changé une URL qui se terminait par ".exe" en ".exe?", Et le navigateur est allé juste devant et téléchargé le type de fichier "inconnu". Depuis, nous avons bouché ce trou, mais j'aimerais savoir si quelqu'un d'autre connaît des moyens néfastes de télécharger des fichiers en contournant la sécurité du réseau et en vérifiant les logiciels.

Ou peut-être si vous connaissez un logiciel commercial que vous pouvez jurer être à l'épreuve des balles, et nous pouvons le tester pendant un certain temps.

Toute aide appréciée ...

Quelle que soit la solution technique que vous proposez, quelqu'un trouvera un moyen de la contourner. Si vous êtes sérieux à ce sujet (et pas seulement pour décourager les téléchargements occasionnels ou remplir un mandat politique sans visage), alors s'il vous plaît, s'il vous plaît ,

Parlez à vos utilisateurs!

Expliquez pourquoi vous bloquez ce que vous bloquez. Aidez-les à comprendre son importance. Et puis écoutez- les quand ils vous disent pourquoi ils ont encore besoin de télécharger des fichiers exécutables, et aidez-les à trouver un moyen de faire leur travail sans rendre votre travail plus difficile.

Pendant des années, l'un de nos fournisseurs avait mis en place un système similaire au vôtre. Malheureusement, ils étaient également responsables de nous fournir des mises à jour régulières de leur logiciel de tarification, et lors des tests, il était courant que les exécutables se déplacent fréquemment entre nos réseaux. En raison des filtres, nous avons tous pris l'habitude de renommer des fichiers (.exe -> .ear, etc.), de les compresser, de les compresser puis de les renommer, même en utilisant des machines personnelles pour les transférer ... non seulement en inversant les restrictions et amplifiant le danger potentiel pour les deux sociétés, mais détruisant également une grande partie de notre respect pour ceux qui sont derrière les restrictions.

Enfin, quelqu'un a reçu le message et a mis en place un serveur FTP sécurisé à utiliser.

Il est trop courant de se concentrer sur le côté technique des choses et d'oublier les humains ingénieux qui doivent faire face à leurs conséquences. Naturellement, si vous le faites déjà, alors plus de pouvoir pour vous!

Le moyen le plus simple si vous avez un accès approprié au monde extérieur: crypter le fichier, le télécharger, le décrypter. Vous devrez peut-être changer l'extension du fichier pour quelque chose que le scanner ne reconnaîtra pas, mais en gros le contenu sera "non analysable" en supposant que vous utilisez un cryptage raisonnable.

Heck, juste un fichier zip protégé par mot de passe peut fonctionner - s'il n'est pas explicitement bloqué.

Si vous allez pour seulement permettre le contenu que vous comprenez et approuvez, qui pourrait bien être plus efficace - et aussi plus douloureux pour toutes les parties concernées, en raison de faux positifs.

Modifiez l'extension de fichier en .pdf. D'après ce que j'ai vu, la plupart des vérificateurs supposeront qu'il s'agit d'un pdf (car les fichiers PDF sont des fichiers binaires) et le laisseront passer.

Il est donc assez facile pour un utilisateur [intelligent] de configurer et d'utiliser un proxy externe. Installez quelque chose comme Proxifier et Http-Tunnel Client et vous êtes prêt à partir. Les serveurs proxy gratuits sont lents, mais un abonnement annuel est assez bon marché et obtient de bonnes performances. Cette solution crée efficacement un tunnel privé, chiffré et non sécurisé via votre canal HTTP et vous ne pouvez pas faire grand-chose à ce sujet.

Nous avons mis en place toutes sortes de mesures sur le réseau et le proxy de l'entreprise pour empêcher le téléchargement de certains types de fichiers sur les ordinateurs de l'entreprise.

Vous pourriez y aller dans le mauvais sens. Windows Active Directory vous permettra de définir une stratégie pour bloquer des fichiers exécutables spécifiques ou, plus concrètement, d'autoriser uniquement certains fichiers exécutables à s'exécuter. Vous devez passer un peu de temps à vous assurer que toutes vos applications figurent dans la liste des exceptions, mais vous pouvez simplement arrêter tous les autres exécutables en cours d'exécution.

Je sais qu'une solution de filtrage Web haut de gamme comme Websense peut le faire. Vous pouvez configurer une extension de filtre et comme il est capable de faire des regex, vous pouvez arrêter ces petites astuces simples.

Cependant, là où il y a une volonté, il y a un moyen. Vous devrez donc avoir une politique d'utilisation d'Internet solide avec des dents que la chaîne de gestion soutient et applique réellement et vous devrez analyser les résultats de votre filtrage Web pour voir si quelqu'un cherche d'autres moyens de contourner la solution que vous avez choisie.

Une autre façon est via FTP passif . La plupart des réseaux permettent à toutes les connexions sortantes de quitter le pare-feu de l'intérieur et de revenir. Le FTP standard utilisera un port de connexion puis un port de transport de données qui est facile à bloquer sur un pare-feu car le second port de données est initié à l'extérieur. Le FTP passif, cependant, initie le port de transfert de données à partir du PC à l'intérieur, ce qui est autorisé dans la plupart des configurations de pare-feu par défaut ... au moins dans le monde Cisco.

Vous pourrez peut-être démarrer à partir d'un LiveCD et utiliser wget pour télécharger des fichiers bloqués par des mesures Windows côté client. Si les fichiers sont toujours bloqués par le réseau, vous pourrez peut-être démarrer un tunnel VPN vers une autre machine et les télécharger via celui-ci.