На первый взгляд, это может показаться глупым вопросом, но позвольте мне рассказать подробнее...
Мы применили все возможные меры в сети компании и на прокси-сервере для предотвращения загрузки определенных типов файлов на машины компании. Большинство файлов, даже zip-файлы с exe-файлами внутри, блокируются при нажатии на кнопку загрузки этих файлов.
Однако некоторым «предприимчивым» пользователям все же удается заставить загрузки работать. Например, я стоял позади человека (который не знал меня или в каком отделе я работаю), который на наших глазах изменил URL-адрес, заканчивающийся на «.exe», на «.exe?», и браузер сразу же загрузил «неизвестный» тип файла. С тех пор мы заделали эту «дыру», но я хотел бы узнать, знает ли кто-нибудь еще какие-нибудь «интересные» способы загрузки файлов в обход сетевой безопасности и проверяющего программного обеспечения.
Или, возможно, если вы знаете какое-то коммерческое программное обеспечение, которое, как вы можете поклясться, является пуленепробиваемым, и мы можем испытать его в течение некоторого времени.
Любая помощь приветствуется...
Ответ 1
Независимо от того, какое техническое решение вы придумаете, кто-то найдет способ его обойти. Если вы серьезно относитесь к этому (а не просто делаете это, чтобы отбить охоту к случайным загрузкам), то прислушайтесь к следующим советам.
Поговорите со своими пользователями!
Объясните, почему вы блокируете то, что вы блокируете. Помогите им понять важность этого. А затем выслушайте их, когда они расскажут вам, почему им все еще нужно загружать исполняемые файлы, и помогите им найти способ выполнять свою работу, не усложняя вашу работу.
В течение многих лет у одного из наших поставщиков действовала система, подобная вашей. К сожалению, они также отвечали за предоставление нам регулярных обновлений своего программного обеспечения для ценообразования, и во время тестирования было обычным делом, что исполняемые файлы часто путешествовали туда-сюда между нашими сетями. Из-за фильтров у всех нас появилась привычка переименовывать файлы (.exe -> .ear и т. д.), сжимать их, сжимать, затем переименовывать, даже использовать личные машины для их передачи... не только нарушая ограничения и усиливая потенциальную опасность для обеих компаний, но и уничтожая большую часть нашего уважения к тем, кто стоит за ограничениями.
Наконец, кто-то получил сообщение и создал для нас защищенный FTP-сервер.
Слишком часто мы сосредотачиваемся на технической стороне вещей и забываем о находчивых людях, которые должны бороться с их последствиями. Естественно, если вы уже делаете это, то успехов вам!
Ответ 2
Самый простой способ, если у вас есть соответствующий доступ во внешнем мире: зашифруйте файл, загрузите его, расшифруйте. Возможно, вам придется изменить расширение файла на то, которое сканер не распознает, но в основном содержимое будет «несканируемым», если вы используете разумное шифрование. Может сработать и просто защищенный паролем zip-файл, если он явно не заблокирован.
Если вы хотите разрешить только тот контент, который вы понимаете и одобряете, это может быть более эффективными более болезненным для всех заинтересованных сторон из-за ложных срабатываний.
Ответ 3
Умному пользователю довольно легко настроить и использовать внешний прокси. Установите что-нибудь вроде Proxifier и Http-Tunnel Client, и все готово. Бесплатные прокси-серверы медленные, но годовая подписка стоит довольно дешево и обеспечивает хорошую производительность. Это решение эффективно создает частный, зашифрованный, незащищенный туннель через ваш HTTP-канал, и вы мало что сможете с этим поделать.
Ответ 4
Я знаю, что лучшее решение для веб-фильтрации, такое как Websense, может это сделать. Вы можете установить расширение фильтра, и, поскольку оно способно выполнять regex, вы можете остановить эти простые маленькие трюки.
Однако, где есть желание, там есть и способ. Поэтому вам необходимо иметь сильную политику использования интернета, которую цепочка управления действительно поддерживает и обеспечивает, и вам необходимо изучить результаты вашей веб-фильтрации, чтобы увидеть, не находит ли кто-нибудь другие способы обойти выбранное вами решение.
Ответ 5
Проверенный способ – пассивный FTP. Большинство сетей позволяют всем исходящим соединениям покидать брандмауэр изнутри и возвращаться обратно. Обычный FTP использует один порт подключения, а затем один порт передачи данных, который легко заблокировать на брандмауэре, поскольку второй порт передачи данных инициируется снаружи. Пассивный FTP, однако, инициирует порт передачи данных из внутреннего компьютера, что разрешено в большинстве стандартных конфигураций брандмауэра... по крайней мере, в мире Cisco.
Security