¿Cómo puedo descargar un archivo ejecutable dentro de la red de la empresa cuando se ha bloqueado?

Esto puede parecer una pregunta tonta (o nefasta) a primera vista, pero permítame elaborar ...

Hemos implementado todo tipo de medidas en la red y proxy de la compañía para evitar la descarga de ciertos tipos de archivos en las máquinas de la compañía. La mayoría de los archivos, incluso los archivos zip con exe dentro se bloquean al hacer clic para descargar esos archivos.

Pero algunos usuarios "emprendedores" aún logran que las descargas funcionen. Por ejemplo, estaba parado detrás de alguien (que no me conocía o en qué departamento trabajaba), que frente a nuestros ojos cambió una URL que terminaba con ".exe" a ".exe?", Y el navegador se fue a continuación y descargó el tipo de archivo "desconocido". Desde entonces, hemos cerrado este agujero, pero me gustaría saber si alguien más conoce algún medio nefasto de descargar archivos sin pasar por la seguridad de la red y verificar el software.

O tal vez si conoce algún software comercial que pueda jurar que es a prueba de balas, y podemos probarlo por un tiempo.

Cualquier ayuda apreciada ...

Independientemente de la solución técnica que se le ocurra, alguien encontrará una solución. Si habla en serio sobre esto (y no solo para desalentar las descargas casuales o cumplir un mandato de política sin rostro), entonces, por favor ,

¡Habla con tus usuarios!

Explica por qué estás bloqueando lo que estás bloqueando. Ayúdelos a comprender la importancia de esto. Y luego escúchelos cuando le digan por qué todavía necesitan descargar archivos ejecutables, y ayúdelos a encontrar una manera de hacer su trabajo sin dificultar su trabajo.

Durante años, uno de nuestros proveedores tuvo un sistema similar al suyo. Desafortunadamente, también fueron responsables de proporcionarnos actualizaciones periódicas de su software de fijación de precios, y durante las pruebas era común que los ejecutables viajaran con frecuencia entre nuestras redes. Debido a los filtros, todos tenemos la costumbre de renombrar archivos (.exe -> .ear, etc.), comprimirlos, comprimirlos y luego renombrarlos, incluso usando máquinas personales para transferirlos ... no solo subvirtiendo las restricciones y amplificando el peligro potencial para ambas compañías, pero también destruyendo gran parte de nuestro respeto por quienes están detrás de las restricciones.

Finalmente, alguien recibió el mensaje y configuró un servidor FTP seguro para que lo usemos.

Es muy común enfocarse en el aspecto técnico de las cosas y olvidarse de los humanos ingeniosos que deben lidiar con las consecuencias de ellos. Naturalmente, si ya estás haciendo esto, ¡entonces tendrás más poder!

La manera más simple si tiene acceso apropiado en el mundo exterior: cifre el archivo, descárguelo y descifre. Es posible que deba cambiar la extensión del archivo a algo que el escáner no reconozca, pero básicamente el contenido será "no escaneable" suponiendo que utilice un cifrado razonable.

Diablos, solo un archivo zip protegido por contraseña podría funcionar, si no están explícitamente bloqueados.

Si opta por permitir solo el contenido que comprende y aprueba, eso podría ser más efectivo, y también más doloroso para todos los interesados, debido a los falsos positivos.

Cambie la extensión del archivo a .pdf. Por lo que he visto, la mayoría de los verificadores supondrán que es un pdf (ya que los pdf son archivos binarios) y lo dejarán pasar.

Por lo tanto, es bastante fácil para un usuario [inteligente] configurar y usar un proxy externo. Instale algo como Proxifier y Http-Tunnel Client y listo. Los servidores proxy gratuitos son lentos, pero una suscripción anual es bastante barata y obtiene un buen rendimiento. Esta solución crea efectivamente un túnel privado, encriptado y no seguro a través de su canal HTTP y no hay mucho que pueda hacer al respecto.

Hemos implementado todo tipo de medidas en la red y proxy de la compañía para evitar la descarga de ciertos tipos de archivos en las máquinas de la compañía.

Puede que vayas a esto por el camino equivocado. Windows Active Directory le permitirá establecer una política para bloquear archivos ejecutables específicos o, más prácticamente, solo permitirá que se ejecuten ciertos archivos ejecutables. Debe pasar un poco de tiempo asegurándose de que todas sus aplicaciones estén en la lista de excepciones, pero luego simplemente puede detener cualquier otro ejecutable que se ejecute.

Sé que una solución de filtrado web de primera línea como Websense puede hacer esto. Puede configurar una extensión de filtro y, dado que es capaz de hacer expresiones regulares, puede detener esos pequeños trucos simples.

Sin embargo, donde hay voluntad, hay una manera. Por lo tanto, deberá tener una política sólida de uso de Internet con dientes que la cadena de administración realmente respalde y aplique y deberá analizar los resultados de su filtrado web para ver si alguien está descubriendo otras formas de eludir la solución elegida.

Otra forma es a través de FTP pasivo . La mayoría de las redes permiten que todas las conexiones salientes salgan del firewall desde adentro y regresen. El FTP normal utilizará un puerto de conexión y luego un puerto de transporte de datos que es fácil de bloquear en un firewall porque el segundo puerto de datos se inicia desde el exterior. Sin embargo, el FTP pasivo inicia el puerto de transferencia de datos desde la PC interna, que está permitido en la mayoría de las configuraciones de firewall predeterminadas ... al menos en el mundo de Cisco.

Es posible que pueda iniciar desde un LiveCD y usar wget para descargar archivos que están bloqueados por las medidas de Windows del lado del cliente. Si la red todavía bloquea los archivos, entonces puede iniciar un túnel VPN a otra máquina y descargarlos a través de eso.