Oh, was für eine tolle neue Idee. Um die IoT-Misere in den Griff zu bekommen, brauchen wir noch ein weiteres IoT-Device. Woran erinnert mich das noch .. ? .. ! Ach ja:
https://xkcd.com/927/
Übrigens HABE ich so ein Teil noch irgendwo im Keller rumliegen. Damals so um die Jahrtausendwende gekauft. Dann aber etwas liegengelassen, denn es kam ja nur mit 3 Monaten Signaturen, und ich hatte nicht sofort Zeit zu testen.
Dann irgendwann später (muss so um 2006 gewesen sein) mal angetestet. Da war's aber schon zu spät, das Device funktionierte nimmer richtig.
Erstens waren die 3 Monate der Freien updates nicht mehr zu registrieren - die Webseite dafür gab es nimmer - und außerdem gab es den Update-Server schon einige Jahre nimmer, man konnte ihn also auch gar nimmer kaufen wenn man wollte!
Dazu kam, stellte sich heraus, das Device war eben auch von hinten und vorne nicht leistungsfähig genug, um auch nur ansatzweise das zu leisten, was es hätte leisten sollen. Schon zum Kaufzeitpunkt hat es die (damals noch recht überschaubaren) Geschwindigkeiten nicht geschafft. Und ja, wir sind inzwischen in Regionen, da geht das in den Bereich vom Gigabit.
Das möchte ich sehen: Einen Gigabit-fähigen Router, der in der Lage ist, mit Wire-Speed ohne größere Latenzen seine Arbeit als IDS und Security-Proxy im Hintergrund zu verbringen. Auf dass Netflix nicht anfängt zu ruckeln wenn man gigabyteweise SPAM-Mails empfängt.
Diese ach-so-tolle Idee eines dedizierten AV-Routers ist alter Wein in alten Schläuchen! Es ist eine überholte Idee aus dem letzten Jahrtausend, die nur eines produziert:
Noch mehr Elektromüll.
Aber kein Quentchen mehr Sicherheit. Wenn es wirklich um IoT-Sicherheit gehen soll, dann ist diese korrekt bei den ISPs, also zentral, aufgehoben. Dort ist das Know-How, dort ist die Technik, dort sind die Leute 24/7, dort kann man es machen.
Es ist nicht nur machbar (das habe ich schon irgendwo mal hier im Forum zusammengeschrieben) sondern auch noch extrem einfach umzusetzen, und OHNE irgendwelchen sichtbaren negativen Effekte beim Otto-Normalsurfer. Das einzige, was dafür fehlt, ist eine einzige, billig zu habende, Kleinigkeit:
Eine einfache, klare politische Entscheidung mit einfacher, klarer Bekenntnis.
Damit die ISPs das nicht nur machen können, sondern machen sollen.
Und der Gag ist, das kostet in den meisten Fällen absolut gar nichts, denn die dafür notwendige Infrastruktur ist schon längst vorhanden (jedenfalls bei den größeren ISPs).
Es fehlt halt nur eine weltweit klare Ansage. Lies: Wird also so nicht kommen.
-Tino
PS: Der Kerngedanke meiner Idee: IoT-Devices werden auf IPv4 festgepinnt, ihnen wird IPv6 verboten und BGP4 wird global abgeschaltet - d. h. Interconnection ist ab einem Stichtag, z. B. 1.1.2018, nur noch in IPv6 erlaubt. Zwischen ISPs braucht es kein IPv4 mehr, es geht *alles* auch via IPv6, und zwar so, dass Otto Normalsurfer gar nichts davon bemerkt, selbst wenn er IPv4-only ist. Die paar ISPs, die IPv6 noch nicht gemeistert haben, die sind schnurzegal. Ja, wir, die Profis, bemerken tatsächlich etwas. Aber das ist bei einem globalen Schwenk auf IPv6 eher schmerzfrei. Jedes mögliche Problemchen hat bereits längst eine bekannte, und einfach umsetzbare Lösung und vieles hält sich ja nur noch deswegen, weil man nichts ändert so lange es noch tut. Und ja, bei mir machen IPv4-only-Devices etwas über 80% zuhause aus, spielt alles keine Rolle, denn ich habe schon Router zu Zeit konfiguriert, da war IPv6 nicht einmal erdacht, und weiß, dass es da keinerlei Probleme geben wird - nur vorgeschobene Probleme, aber nichts echtes (für die wenigen Fälle, in denen IPv4 nicht via IPv6 laufen kann man tunneln, das ist ja nicht verboten. Aber Tunnel sind P2P, damit sind die IoT-Probleme auf natürliche Weise verschwunden). Ohne politische Entscheidung wird sich aber absolut gar nichts ändern. Ich erwarte keinerlei Umdenken vor 2030. Ich würde sogar spekulieren, selbst um 2050 werden wir uns noch mit durch IPv4 indirekt ausgelösten Problemen rumärgern, weil es immer noch im globalen Routingverbund ist. Ich setzte sogar einen drauf: Vermutlich ärgern wir uns auf globaler Ebene noch mit IPv4 rum, wenn wir bereits in der Einführungsphase des Nachfolgers von IPv6 sitzten (eine solche Notwendigkeit meine ich schon vor einigen Jahren erkannt zu haben, da IPv6 noch mindestens eine Stufe zu kurz gedacht ist um, universell gesehen, das letzte aller IP-Protokolle zu sein).