Random Feature Concept
Ingo lässt sich allgemein über Netzwerke deren Konzeption und vor allem deren Komplexität aus.
Ein Grund für schleichend wachsende Komplexität und der damit zunehmenden Unsicherheit von Firewalls ist dabei laut Ingo ja:
Die Natur des Menschen bringt es nämlich mit sich, dass nicht mehr
benötigte Regeln normalerweise nicht entfernt werden, weil niemand den
Netzwerkadministratoren mitteilt, dass er die betreffende Kommunikation
nicht mehr benötigt. Warum auch? Es besteht ja nur Leidensdruck, wenn
etwas nicht funktioniert.
Stimmt, kommt mir bekannt vor. Wie schwer (und wirklich sinnvoll) wäre da wohl folgendes Feature einer Firewall Appliance:
Jede Paketfilterregel die etwas erlaubt, merkt sich, wie häufig es tatsächlich benutzt wird. Wird es für sagen wir mal zwei Wochen nicht benutzt, wird die Regel inaktiv geschaltet und zur Löschung vorgemerkt. Wird das Fehlen für einen Monat nicht bemerkt, wird die Regel komplett aus der laufenden Konfiguration genommen und abschliessend dem Admin zwecks Archivierung per Email zugesandt.
Voilá, die selbstwartende Firewall. Patentanmeldung folgt. :)