Jump to content
OBK

Verdächtige Netzwerkaktivität wurde erkannt

Recommended Posts

OBK   

Hallo,

ich habe ein Problem mit einem Client-Programm von Backup-Exec. Beim Start werden Warnungen "Verdächtige Netzwerkaktivität erkannt" gemeldet.

Grund: Anzahl der Eingabeversuche für das Kennwort und den Namen des Benutzers xxxx war höher als 30 in 2 Minuten im Zeitraum von xxxxx.

Wo kann ich hier eine Ausnahme konfigurieren?

Gruß OBK
 

Share this post


Link to post
Share on other sites
Grodomin   

Moin OBK,

das müsste er "Schutz vor Netzwerkangriffen" sein - Ausnahmen kannst du in der KES Richtlinie setzen unter:

Habe die Komponente bei einem Kunden komplett abschalten müssen, da dessen Konstruktion auf große SolidWorks-Zeichnungen in einem DataVault (so ein Tresor zum auschecken bei Bearbeitung)  zugreifen musste...
Je nach Komplexität der Zeichnung wurde jeden Tag ein anderer PC aufgrund "zu vieler Anfragen" gesperrrt -_- - hab echt lange suchen müssen...

MfG
Grodomin

Edited by Grodomin

Share this post


Link to post
Share on other sites
OBK   

Hallo

Am ‎10‎.‎08‎.‎2017 um 07:18 schrieb Grodomin:

das müsste er "Schutz vor Netzwerkangriffen" sein - Ausnahmen kannst du in der KES Richtlinie setzen unter:

 

Ich bin leider noch nicht weiter gekommen. Unter Angriff verstehe ich, dass ein anderer PC mich angreift. Hier ist es aber so: Auf dem PC wird die Client-Komponente von BackupExec gestartet. Damit wird auf einen Server zugegriffen, auf dem KS4WS und nicht KES installiert ist. Der PC bringt nun die Meldung "Verdächte Netzwerkaktivität". Ich habe in der Richtlinie trotzdem einmal unter Netzwerkangriffe die IP-Adresse des Servers eingetragen, aber es hat nichts genützt.

Share this post


Link to post
Share on other sites
Grodomin   

Ich vermute einfach Mal:

A: Der Agent von Backup-Exec wird von einem Server auf dem Client gestartet und macht (aus welchem Grund auch immer) irgendwleche LogIns / Versuche.
Möglicherweise werden falsche Zugangsdaten wiederholt übertragen.

B: Eine Applikation verbindet sich vom lokalen Client irgendwo hin und macht zuviele falsche Verbindungsversuche - daraufhin erkennt das Client AV "lokal" eine verdächtige Netzaktivität und meldet dies

So oder so: Es muss 1. der Client-AV sein und 2. falsche Authentifizierungen

Vorschlag: trag die den Client-PC mal in die Ausnahmeliste ein / kontrollier die eingetragenen Zugagangsdaten in der Applikation

Share this post


Link to post
Share on other sites
Ganzfix   
vor 2 Stunden schrieb OBK:

Hallo

Ich bin leider noch nicht weiter gekommen. Unter Angriff verstehe ich, dass ein anderer PC mich angreift. Hier ist es aber so: Auf dem PC wird die Client-Komponente von BackupExec gestartet. Damit wird auf einen Server zugegriffen, ..

Was macht denn das BackupExec soll es den Server sichern oder die Clientsicherung  auf dem Server ablegen? Wenn es den Server sichern soll, erzeugt es wahrscheinlich sehr viele Lesezugriffe auf den Server und das kommt ihm verdächtig vor.

Share this post


Link to post
Share on other sites
OBK   
vor 3 Minuten schrieb Ganzfix:

Was macht denn das BackupExec soll es den Server sichern oder die Clientsicherung  auf dem Server ablegen? Wenn es den Server sichern soll, erzeugt es wahrscheinlich sehr viele Lesezugriffe auf den Server und das kommt ihm verdächtig vor.

Auf dem PC wird nur der Client gestartet, mit dem der Server administriert wird. Die Sicherung bzw. das Recover läuft auf dem Backup-Server.

Share this post


Link to post
Share on other sites
OBK   
vor 37 Minuten schrieb Grodomin:

So oder so: Es muss 1. der Client-AV sein und 2. falsche Authentifizierungen

Das sehe ich auch so. Was mich wundert: In der Richtlinie wird ja unter Netzwerkangriffen eine Zeit eingestellt, für die der angreifende PC geblockt wird. Bei uns wird aber nichts blockiert. Die Kollegen können mit Ihrem Programm ganz normal arbeiten.

Vielleicht hätte ich schon zu Beginn sagen sollen: Die Meldungen kommen erst seit KES 10 SP2.

Share this post


Link to post
Share on other sites
OBK   
vor einer Stunde schrieb Grodomin:

Vorschlag: trag die den Client-PC mal in die Ausnahmeliste ein

Habe ich gemacht, hat aber leider nichts gebracht.

vor einer Stunde schrieb Grodomin:

kontrollier die eingetragenen Zugangangsdaten in der Applikation

Die Zugangsdaten werden nur einmal manuell eingegeben und dann kann mit der Applikation gearbeitet werden. Die Zugangsdaten müssen von der Applikation immer wieder gesendet werden.

Share this post


Link to post
Share on other sites
alexcad   

Lässt sich der auslösende BE-Prozess identifizieren? 
Dann den in der Richtlinie für die KES in die Liste der vertrauenswürdigen Anwendungen aufnehmen.

Grüße
Alex

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×