Doppelte IP im LAN
Hallo,
Welche Möglichkeiten gibt es , ausgenommen managed Switches, um dopplete IP Adressen im LAN zu verhindern?
Seit einigen Tagen haben wir einen ganz besonderen Scherzkeks welcher durch manuelle Vergabe der IP sporadisch einen unserer Workgroup Server lahmlegt.(gleiche IP wie Server). Das Log zeigt das auch die MAC Adresse variirt. Ändert wahrscheinlich auch ab und zu mal die MAC Adresse manuell.
DHCP läuft, hilft jedoch nix wenn die IP manuell eingetragen wird.
Danke für eure Hilfe!
Matthias
Welche Möglichkeiten gibt es , ausgenommen managed Switches, um dopplete IP Adressen im LAN zu verhindern?
Seit einigen Tagen haben wir einen ganz besonderen Scherzkeks welcher durch manuelle Vergabe der IP sporadisch einen unserer Workgroup Server lahmlegt.(gleiche IP wie Server). Das Log zeigt das auch die MAC Adresse variirt. Ändert wahrscheinlich auch ab und zu mal die MAC Adresse manuell.
DHCP läuft, hilft jedoch nix wenn die IP manuell eingetragen wird.
Danke für eure Hilfe!
Matthias
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 142425
Url: https://administrator.de/contentid/142425
Ausgedruckt am: 05.11.2024 um 19:11 Uhr
17 Kommentare
Neuester Kommentar
hallo,
arbeitest du in einer domain? wenn ja
Gruppenrichtlinie Ändern der Netzwerkeinstellungen unterbinden
ansonsten:
würd mal gleich mit der gl sprechen um folgen daraus zu ziehen (danach ne rundmail, was derzeitig so getrieben, wird und ja, evlt. auch ein bisschen bluffen, dass die person des jetzt unterlässt, ansonsten wird es folgen für diese person haben, da die "logs" zeigen welche person dieser scherkzkeks ist)
und dann mal gucken obs nochmal vorkommt, wenn nicht, dann hast dein ziel erreicht. ^^
grüße
und noch einen schönen ruhigen und edv freien abend ;)
arbeitest du in einer domain? wenn ja
Gruppenrichtlinie Ändern der Netzwerkeinstellungen unterbinden
ansonsten:
würd mal gleich mit der gl sprechen um folgen daraus zu ziehen (danach ne rundmail, was derzeitig so getrieben, wird und ja, evlt. auch ein bisschen bluffen, dass die person des jetzt unterlässt, ansonsten wird es folgen für diese person haben, da die "logs" zeigen welche person dieser scherkzkeks ist)
und dann mal gucken obs nochmal vorkommt, wenn nicht, dann hast dein ziel erreicht. ^^
grüße
und noch einen schönen ruhigen und edv freien abend ;)
hallo,
kein problem, du könnstest bei jedem client, lokal die richtlienen anpassen (hätte den selben effekt wie die gpo nur jedoch mit deutlich mehr aufwand)
zum ipcop oder ähnliches, da wirst sicher die selben probleme haben, wenn er dann die ip nutzt (zumindest laut meinem verständniss, lass mich aber sehr gern belehren ;) )
grüße
kein problem, du könnstest bei jedem client, lokal die richtlienen anpassen (hätte den selben effekt wie die gpo nur jedoch mit deutlich mehr aufwand)
zum ipcop oder ähnliches, da wirst sicher die selben probleme haben, wenn er dann die ip nutzt (zumindest laut meinem verständniss, lass mich aber sehr gern belehren ;) )
grüße
Naja dieser Jemand müsste schon in der Lage sein eine MAC Adresse zu faken... Oder dieser Jemand hat bei euch die Möglichkeit an unterschiedlichen Geräten die IP zu ändern...
Durch solche Überlegungen könntest den Kreis der potenziellen Täter ja schonmal eingrenzen.
Die Möglichkeit der GPO config gäbes es natürlich... wenn aber jmd mit z.b. seinem privaten Notebook da rumwerkelt, ist das auch nicht effektiv.
Mein Vorschlag wäre eine Routerkonfiguration mit MAC-Filter auf "alle verbieten, welche nicht ausdrücklich erlaubt sind"...
Ist zwar Aufwand, weil du die MAC Adressen der Firmen NICs eintragen musst, aber die sollte ein Admin sowieso alle up2date übersichtlich iwo festgehalten haben, hab ich zumindest so gelernt
Durch solche Überlegungen könntest den Kreis der potenziellen Täter ja schonmal eingrenzen.
Die Möglichkeit der GPO config gäbes es natürlich... wenn aber jmd mit z.b. seinem privaten Notebook da rumwerkelt, ist das auch nicht effektiv.
Mein Vorschlag wäre eine Routerkonfiguration mit MAC-Filter auf "alle verbieten, welche nicht ausdrücklich erlaubt sind"...
Ist zwar Aufwand, weil du die MAC Adressen der Firmen NICs eintragen musst, aber die sollte ein Admin sowieso alle up2date übersichtlich iwo festgehalten haben, hab ich zumindest so gelernt
Na dazu müsste der - ich sag mal "Angreifer" aber eine MAC Adresse wissen, die im Router vorhanden ist.
Und wenn eine bestimmte 2x auftaucht, kannst ja nachvollziehen zu welchem Gerät die gehört, wenn ne vernünftige Übersicht führst.
Denn gehst da mal hin und schaust, wer davor sitzt =)
Man könnt die Story noch zerpflücken, inwieweit mein Vorschläg Erfolg hätte oder warum auch nicht...
Denke aber das ist nicht Sinn der Threads xD
Wenn bei euch aber jmd durch solche Aktionen bewusst Server lahmlegt, gehört der in meinen Augen gekündigt...
Wenn nciht sogar auf Schadensersatz verklagt....
Und wenn eine bestimmte 2x auftaucht, kannst ja nachvollziehen zu welchem Gerät die gehört, wenn ne vernünftige Übersicht führst.
Denn gehst da mal hin und schaust, wer davor sitzt =)
Man könnt die Story noch zerpflücken, inwieweit mein Vorschläg Erfolg hätte oder warum auch nicht...
Denke aber das ist nicht Sinn der Threads xD
Wenn bei euch aber jmd durch solche Aktionen bewusst Server lahmlegt, gehört der in meinen Augen gekündigt...
Wenn nciht sogar auf Schadensersatz verklagt....
da gibt es doch was kostenloses... und diesmal nicht von ratiopharm.
Erste Frage: Wie kommt die Person an euer Netzwerk?
a) Er/Sie nimmt nen Privates Laptop mit und hängt das ans Netzwerk. Abhilfe: Erstmal alle nicht genutzten Dosen aus dem Patchfeld und aus dem Switch ziehen. Schon kommt das private Laptop so nicht mehr ans Netz.
b) Er/Sie nimmt den Arbeitsplatzrechner vom Netz. Abhilfe: Lokale Admin-Rechte entziehen auf den Arbeitsplätzen - schon dürfen die die IP nicht mehr ändern.
c) Er/Sie geht via WLAN ins Netz: MAC-Filter einstellen und ein komplexes Passwort für den Login nutzen welches so nicht rausgegeben wird.
Dazu kommt dann: Wenn du die MAC hast dann kannst du ja ggf. am Switch sehen auf welchem Port diese MAC ist/war. Und schon weisst du innerhalb von Sekunden wo der Spassvogel sitzt. Ich würde an der Stelle ehrlich gesagt direkt da hingehen und die Person auch direkt im Raum zusammenfalten (auch und grade wenn da noch andere sitzen) und den Kollegen im Raum ganz klar sagen das die sich für die Störungen bei der Person bedanken dürfen. Wobei dieses dann schon in einer Tonlage passiert das dem das Gespräch mit der GL danach richtig erfreulich vorkommt... Ganz davon abgesehen das die Person natürlich ab dem Moment nicht EINE Private Hardware oder Frage mehr mitbringen bräuchte...
Erste Frage: Wie kommt die Person an euer Netzwerk?
a) Er/Sie nimmt nen Privates Laptop mit und hängt das ans Netzwerk. Abhilfe: Erstmal alle nicht genutzten Dosen aus dem Patchfeld und aus dem Switch ziehen. Schon kommt das private Laptop so nicht mehr ans Netz.
b) Er/Sie nimmt den Arbeitsplatzrechner vom Netz. Abhilfe: Lokale Admin-Rechte entziehen auf den Arbeitsplätzen - schon dürfen die die IP nicht mehr ändern.
c) Er/Sie geht via WLAN ins Netz: MAC-Filter einstellen und ein komplexes Passwort für den Login nutzen welches so nicht rausgegeben wird.
Dazu kommt dann: Wenn du die MAC hast dann kannst du ja ggf. am Switch sehen auf welchem Port diese MAC ist/war. Und schon weisst du innerhalb von Sekunden wo der Spassvogel sitzt. Ich würde an der Stelle ehrlich gesagt direkt da hingehen und die Person auch direkt im Raum zusammenfalten (auch und grade wenn da noch andere sitzen) und den Kollegen im Raum ganz klar sagen das die sich für die Störungen bei der Person bedanken dürfen. Wobei dieses dann schon in einer Tonlage passiert das dem das Gespräch mit der GL danach richtig erfreulich vorkommt... Ganz davon abgesehen das die Person natürlich ab dem Moment nicht EINE Private Hardware oder Frage mehr mitbringen bräuchte...
Moin,
also solange du eben nicht wirklich was einsetzt (vlans usw.) ist das eben nicht möglich. Wie möchtest du verhindern das ich mein Laptop an die Dose klemme? Hier gibt es natürlich Wege (Rechner muss sich erst am Switch anmelden) - aber wenn ich dann meinen stationären Rechner einfach die Server-IP gebe dann hilft auch das nicht...
Und solange du eben nur nen simplen Switch hast und jeder sich überall anstecken kann hast du keine Optionen...
also solange du eben nicht wirklich was einsetzt (vlans usw.) ist das eben nicht möglich. Wie möchtest du verhindern das ich mein Laptop an die Dose klemme? Hier gibt es natürlich Wege (Rechner muss sich erst am Switch anmelden) - aber wenn ich dann meinen stationären Rechner einfach die Server-IP gebe dann hilft auch das nicht...
Und solange du eben nur nen simplen Switch hast und jeder sich überall anstecken kann hast du keine Optionen...
Moin,
fassen wir mal zusammen,du hast einen Berufskomiker,der die IP Adressen statisch setzen kann und auch die MAC-Adresse ändert.
Du Redest von einen Großraumbüro und sagst die PCs sind nicht in einer Domäne,hab ich so noch nicht gesehen, aber nun gut.
Ich will jetzt wissen, wie ist die Anmeldung unterschiedlicher Mitarbeiter an den PCs geregelt,wenn diese nicht in der Domäne sind und es womöglich,dann auch kein Zugriff auf die AD gibt und somit ein Servergesteuerter Login nicht vorhanden ist.
Gibt es einen Universal Account mit dem sich die Mitarbeiter anmelden ?
und zum Thema GPO,es ist ja nun ein leichtes per lokaler Richtlinie zu verhindern,dass auf Systemeinstellungen nicht zugegriffen werden darf. Dafür reicht ein gpedit.msc unter "Ausführen" Eintippern und ein aufmerksames lesen der vorgaben.
Wir wissen bisher auch noch nicht von welchen OS du redest,vermutlich mal XP Pro,kann aber auch NT 4 sein,bei ersteren gibt es die Möglichkeit anmelde Prozesse und zugriffe,sowie Änderungen am System mitzuloggen.
Wenn jetzt dein Server nicht erreichbar ist und du einen Ping setzt auf die IP,dann ein Arp -a bekommst du eine MAC,mit dieser Mac kannst du im DHCP rauspicken,welcher PC es ist,womöglich auch erst später,wenn dieser wieder über DHCP läuft. Mit dem Zeitpunkt,den sich auf ein Stück Papier geschrieben und der mitloggfunktion am Client selber,rennst du jetzt sowie du den Rechner identifiziert hast hin und schaust nach,wer oder was sich zu den Zeitpunkt angemeldet hat.
Eine andere Möglichkeit wäre das tool Ipscan.exe , mit diesem kannst du ganze IP-Ranges abscannen und bekommst dann ganz simple ausgewertet,IP,MAC und Host Name.
Wenn der Typ jetzt "nur" die IP festgesetzt hat und die MAC geändert hat,wirst du auf diesen Weg den PC Namen herausfinden und kannst ,sofern eure Namenskonvention etwas taugt,dich sofort zu dem entsprechenden Rechner machen, um den Spassvoge zur rede zu stellen.
Netzwerkscanner sind auch eine sehr gute Erfindung,um solche Kandidaten ausfindig zu machen und damit meine ich nicht so ein banales tool wie Ipscan.exe sondern rede von wireshark und co.
fassen wir mal zusammen,du hast einen Berufskomiker,der die IP Adressen statisch setzen kann und auch die MAC-Adresse ändert.
Du Redest von einen Großraumbüro und sagst die PCs sind nicht in einer Domäne,hab ich so noch nicht gesehen, aber nun gut.
Ich will jetzt wissen, wie ist die Anmeldung unterschiedlicher Mitarbeiter an den PCs geregelt,wenn diese nicht in der Domäne sind und es womöglich,dann auch kein Zugriff auf die AD gibt und somit ein Servergesteuerter Login nicht vorhanden ist.
Gibt es einen Universal Account mit dem sich die Mitarbeiter anmelden ?
und zum Thema GPO,es ist ja nun ein leichtes per lokaler Richtlinie zu verhindern,dass auf Systemeinstellungen nicht zugegriffen werden darf. Dafür reicht ein gpedit.msc unter "Ausführen" Eintippern und ein aufmerksames lesen der vorgaben.
Wir wissen bisher auch noch nicht von welchen OS du redest,vermutlich mal XP Pro,kann aber auch NT 4 sein,bei ersteren gibt es die Möglichkeit anmelde Prozesse und zugriffe,sowie Änderungen am System mitzuloggen.
Wenn jetzt dein Server nicht erreichbar ist und du einen Ping setzt auf die IP,dann ein Arp -a bekommst du eine MAC,mit dieser Mac kannst du im DHCP rauspicken,welcher PC es ist,womöglich auch erst später,wenn dieser wieder über DHCP läuft. Mit dem Zeitpunkt,den sich auf ein Stück Papier geschrieben und der mitloggfunktion am Client selber,rennst du jetzt sowie du den Rechner identifiziert hast hin und schaust nach,wer oder was sich zu den Zeitpunkt angemeldet hat.
Eine andere Möglichkeit wäre das tool Ipscan.exe , mit diesem kannst du ganze IP-Ranges abscannen und bekommst dann ganz simple ausgewertet,IP,MAC und Host Name.
Wenn der Typ jetzt "nur" die IP festgesetzt hat und die MAC geändert hat,wirst du auf diesen Weg den PC Namen herausfinden und kannst ,sofern eure Namenskonvention etwas taugt,dich sofort zu dem entsprechenden Rechner machen, um den Spassvoge zur rede zu stellen.
Netzwerkscanner sind auch eine sehr gute Erfindung,um solche Kandidaten ausfindig zu machen und damit meine ich nicht so ein banales tool wie Ipscan.exe sondern rede von wireshark und co.
All das ist sinnlos wenn man ein dummes flaches Layer 2 Netzwerk hat. Wie oben schon bemerkt nimmt man einen 20 Euro Router oder Printserver oder irgend ein beliebiges (möglichst unintelligentes) IP Endgerät, gibt ihm die IP des Servers und sofern man es richtig macht auch noch die Mac des Servers, lehnt sich zurück und feixt sich einen wie die Netzwerk Admins rotieren....und den Fehler nicht finden !
Mit dummen unmanaged Switches ist man mit so einem Szenario schnell am Ende. Wireshark, ipscan usw. ist alles sinnlos, erst Recht die hilflosen Windows GPO Mechanismen usw.
Fazit: Mit einer dummen Netzwerk Infrastruktur kannst du dich gegen solche Angriffe schlecht wehren. Damit muss man dann leben wenn man am falschen Ende spart...so einfach ist das !!
Es gibt 2 simple aber sehr effiziente Möglichkeiten sich zu schützen:
1.) Das Netzwerk segmentieren und die Server in ein separates VLAN bringen !
Meist sind dann die Server Ports RZ basierend in einem separaten Raum und schon mal so gar nicht vom Büro her physisch zu erreichen. Die Server VLAN Ports befinden sich ja dann nur im RZ Raum !
So ein "IP Verdoppler" kann also schon physisch nicht mehr ins Servernetz weil er einfach an die ports nicht rankommt und könnte maximal Workstation IPs doppeln was aber niemals so fatale Folgen hat.
Auch wenn er mit einer IP aus dem Server Netz/VLAN im Workstation IP Bereich unterwegs ist, hat das keinerlei Auswirkung da unterschiedliche IP Netze. Diese Geräte "sehen" sich also gar nicht erst können sich folglich auch gar nicht erst stören !
Allein schon mit dieser sehr simplen Methode von VLANs hast du schon 80% aller mehr oder minder schlauen IP Angreifer abgefackelt.
2.) Um es ganz wasserdicht zu machen machst du an deinen Switches zusätzlich noch 802.1x Port Authentifizierung. Idealerweise mit einer dynamischen VLAN Zuweisung und zusätzlich ggf. aktiviertem DHCP Snooping. Auch Billiganbieter supporten sowas heute schon von der Stange.
Damit sind dann sämtliche Optionen doppelte IPs einzustreuen faktisch unterbunden und du hast ein für alle mal Ruhe.
Fazit: Zwei mehr als simple Methoden machen dein Netzwerk absolut wasserdicht gegen sowas !
Man muss nur mal etwas nachdenken und eben auch nicht die billigen D-Links, NetGears vom Blödmarkt einsetzen wenn einem die Sicherheit im Netz was wert ist !!
Mit dummen unmanaged Switches ist man mit so einem Szenario schnell am Ende. Wireshark, ipscan usw. ist alles sinnlos, erst Recht die hilflosen Windows GPO Mechanismen usw.
Fazit: Mit einer dummen Netzwerk Infrastruktur kannst du dich gegen solche Angriffe schlecht wehren. Damit muss man dann leben wenn man am falschen Ende spart...so einfach ist das !!
Es gibt 2 simple aber sehr effiziente Möglichkeiten sich zu schützen:
1.) Das Netzwerk segmentieren und die Server in ein separates VLAN bringen !
Meist sind dann die Server Ports RZ basierend in einem separaten Raum und schon mal so gar nicht vom Büro her physisch zu erreichen. Die Server VLAN Ports befinden sich ja dann nur im RZ Raum !
So ein "IP Verdoppler" kann also schon physisch nicht mehr ins Servernetz weil er einfach an die ports nicht rankommt und könnte maximal Workstation IPs doppeln was aber niemals so fatale Folgen hat.
Auch wenn er mit einer IP aus dem Server Netz/VLAN im Workstation IP Bereich unterwegs ist, hat das keinerlei Auswirkung da unterschiedliche IP Netze. Diese Geräte "sehen" sich also gar nicht erst können sich folglich auch gar nicht erst stören !
Allein schon mit dieser sehr simplen Methode von VLANs hast du schon 80% aller mehr oder minder schlauen IP Angreifer abgefackelt.
2.) Um es ganz wasserdicht zu machen machst du an deinen Switches zusätzlich noch 802.1x Port Authentifizierung. Idealerweise mit einer dynamischen VLAN Zuweisung und zusätzlich ggf. aktiviertem DHCP Snooping. Auch Billiganbieter supporten sowas heute schon von der Stange.
Damit sind dann sämtliche Optionen doppelte IPs einzustreuen faktisch unterbunden und du hast ein für alle mal Ruhe.
Fazit: Zwei mehr als simple Methoden machen dein Netzwerk absolut wasserdicht gegen sowas !
Man muss nur mal etwas nachdenken und eben auch nicht die billigen D-Links, NetGears vom Blödmarkt einsetzen wenn einem die Sicherheit im Netz was wert ist !!
achso - und eine ganz wichtige sache hat man sogar noch vergessen hier: Das ganze Netzdesign mal völlig überdenken...
Denn es ist bei so einem Netz (ich würde mal sagen: chaos-theorie in praktischer form) zu erwarten das dir da noch viel mehr um die Ohren fliegt als nur nen Spassvogel...
Über wieviele PCs reden wir denn eigentlich? 10? 20? oder 50+? Wobei im letzterem Fall das Arbeiten ganz ohne Domäne schon hart wäre - zumal es nun nicht die Welt kostet nen DC hinzustellen. Selbst wenn man kein Geld dafür ausgeben will - Linux als DC ist auch schon seid ein paar Tagen länger möglich...
Denn bisher gehst du ja auch davon aus das jemand das absichtlich macht. Bei so einem Netz könnte ich mir aber auch noch alternativen vorstellen. Z.B. wenn es ein WLAN gibt das es lediglich das Mobil-Telefon eines Mitarbeiters ist (Mobil-Tel. mit WLAN ist ja auch nicht mehr sooo selten). Oder das eben jemand "gemerkt" hat das der Server keine Probleme in der Firewall hat und sich jetzt freut das er frei runterladen kann (Ich gehe irgendwie von nem Universal-Account auf den PCs aus - mit admin-Rechten).
Ich würde dir allerdings entgegen der oberen Aussage empfehlen die lokalen Richtlinien NICHT zu verwenden. Hier kannst du schnell mal was mit abschießen (da die für alle User - inkl. Admin) gelten. Dumm wenn du dann selbst die IPs nicht ehr ändern kannst. Ich würde hier definitiv andere Wege gehen - wobei der erste eben der Aufbau einer Domäne mit Gruppenrichtlinien, Entzug der lokalen Adminrechte usw. wäre. Denn solange die alle praktisch Admins auf dem Rechner sind - was machst du wenn du die Person findest und die leider 5 Trojaner, 7 Viren und 2017 Backdoors auf dem Rechner hat? Nen Einlauf geben kannst du dann nur dir selbst - da es DEINE Aufgabe ist/sein sollte das Netz zu sichern...
Denn es ist bei so einem Netz (ich würde mal sagen: chaos-theorie in praktischer form) zu erwarten das dir da noch viel mehr um die Ohren fliegt als nur nen Spassvogel...
Über wieviele PCs reden wir denn eigentlich? 10? 20? oder 50+? Wobei im letzterem Fall das Arbeiten ganz ohne Domäne schon hart wäre - zumal es nun nicht die Welt kostet nen DC hinzustellen. Selbst wenn man kein Geld dafür ausgeben will - Linux als DC ist auch schon seid ein paar Tagen länger möglich...
Denn bisher gehst du ja auch davon aus das jemand das absichtlich macht. Bei so einem Netz könnte ich mir aber auch noch alternativen vorstellen. Z.B. wenn es ein WLAN gibt das es lediglich das Mobil-Telefon eines Mitarbeiters ist (Mobil-Tel. mit WLAN ist ja auch nicht mehr sooo selten). Oder das eben jemand "gemerkt" hat das der Server keine Probleme in der Firewall hat und sich jetzt freut das er frei runterladen kann (Ich gehe irgendwie von nem Universal-Account auf den PCs aus - mit admin-Rechten).
Ich würde dir allerdings entgegen der oberen Aussage empfehlen die lokalen Richtlinien NICHT zu verwenden. Hier kannst du schnell mal was mit abschießen (da die für alle User - inkl. Admin) gelten. Dumm wenn du dann selbst die IPs nicht ehr ändern kannst. Ich würde hier definitiv andere Wege gehen - wobei der erste eben der Aufbau einer Domäne mit Gruppenrichtlinien, Entzug der lokalen Adminrechte usw. wäre. Denn solange die alle praktisch Admins auf dem Rechner sind - was machst du wenn du die Person findest und die leider 5 Trojaner, 7 Viren und 2017 Backdoors auf dem Rechner hat? Nen Einlauf geben kannst du dann nur dir selbst - da es DEINE Aufgabe ist/sein sollte das Netz zu sichern...
Diese Windows "Scheuklappen" sollte man ebenfalls ablegen wenns nur um nackte IPs geht !! All dies ist sinnlos wenn der böse "IP Verdoppler Buhmann" ein Netbook mit Linux verwendet oder noch einfacher einen 25 Euro Router vom Baumarkt um damit die IP zu doppeln. Noch witziger wird es bestimmt wenn man auf dem "Baumarkt Router" auch noch ein bischen DHCP in einem anderen IP Netz laufen lässt um die Admins richtig zu ärgern...
Damit erübrigt sich dann so oder so jegliche Diskussion mit Admin Status auf Rechnern, Gruppenrichtlinien usw....
Fazit bleibt: Was wirklich hilft ist Segmentierung und strikte Port Security !
Damit erübrigt sich dann so oder so jegliche Diskussion mit Admin Status auf Rechnern, Gruppenrichtlinien usw....
Fazit bleibt: Was wirklich hilft ist Segmentierung und strikte Port Security !