optİk aĞlarin gÜvenlİĞİ f. esİn akin 1306030081

OPTİK AĞLARIN GÜVENLİĞİ

F. ESİN AKIN

1306030081

Optik Ağların Güvenliği

• Giriş• Tam Optik Ağlar• Optik Ağlarda Güvenlik Konusundaki Zayıflıklar

– Optik Ağların Karşılaşabileceği Saldırılar• Servis Engelleme Saldırıları• Tıkama Saldırıları

– Saldırılara Karşı güvenlik Önlemleri• Önüne Geçme• Belirleme• Tepki

• Servis Kalitesinin İzlenerek Güvenlik Sorunlarına Müdahale Edilmesi

• Sonuçlar

Giriş

• Yüksek bandgenişliği gereksinimi verilerin optik ortam üzerinden yüksek hızlarda taşınması gündeme gelmiştir.

• Pratikte 100Gbps düzeyinde iletim hızında hizmet verebilen tam optik ağların Tbs (terabit / s) düzeyinde iletime olanak verebildiği laboratuvar ortamında gösterilmiştir.

• Tam optik ağların sunduğu en önemli kazanımlardan biri, veri transferine saydamlık kazandırmasıdır.

• Tam optik haberleşmenin çok yüksek hızlarda gerçeklendiği bilindiğinden, optik ağların güvenliği konusundaki çalışmalar çok yeni ve daha kısıtlıdır.

Giriş

• Optik ağlarda güvenlik temel olarak 2 ana başlıkta toplanmaktadır: – Fiziksel ortam güvenliği

• Bilginin bütünlüğü ve gizliliği

– Anlamsal güvenlik. • saldıranın iletim kanalına erişimi durumunda

bilginin korunması

Tam Optik Ağlar

• Tam Optik Ağlar 2 ana kategoride toplanırlar– TDM (zaman bölmeli çoğullama) kipinde hizmet veren optik

ağlar– WDM (dalgaboyu bölmeli çoğullama) kipinde hizmet veren optik

ağlar

• En yaygın kullanılan çoğullama yöntemi– Dalgaboyu bölümlemeli çoğullama (WDM)

• Veri iletimi dalgaboyu kanalları üzerinden, dalgaboyu/frekans seçici anahtarlar (WSS) aracılığıyla gerçeklenir.

• İki uç arasında haberleşmenin başlaması için bir sanal devre kurulurken, sözkonusu bağlantıya bir dalgaboyu atanır ve haberleşme bu bant üzerinden gerçeklenir.

Tam Optik Ağlar

• Optik ağların kimi özelliklerinin doğurabileceği güvenlik sorunları– saldıranın trafiği analiz etmesi– servis kalitesini düşürmesi– iletim kanalını dinlemesi – servisin reddini gerçeklemesine olanak tanıması

• Yüksek hız ve kapasitede iletişimin ortaya çıkardığı iki sonuç:– Saldırılar, kısa süreli ve seyrek dahi olsa, saldırıya maruz kalan verinin

miktarı çok büyüktür. – Uç kullanıcıların haberleşme protokolleri, daha yavaş ve elektronik

ortamlar için tasarlanmış protokoller olabilir • Örnek: TCP/IP gibi bir protokol grubu, uzun measfelerde ve yüksek hızlarda,

servisin reddi saldırılarına açıktır.

Tam Optik Ağlar

• Gönderilen işaretler elektronik tabanlı veya elektro-optik ağlarda olduğu gibi ara düğümlerde yeniden oluşturulmazlar– Saydam geçiş

• Kimi ara düğümlerde optik kuvvetlendiriciler (OA) bulunur.

• Verilerin ağ üzerinde saydam geçişi birtakım güvenlik sorunları yaratabilmektedir.

Optik Ağlarda Güvenlik Konusundaki Zayıflıklar

Güvenlik Sorununa Neden Olabilecek Durumlar

• WSS ve tam optik kuvvetlendiriciler tarafından sağlanan saydam geçiş olanağı, halen üzerinde çalışılan birtakım güvenlik açıklarına neden olabilecek durumlar da doğurabilmektedir.

• Çapraz karışma• Kuvvetlendirilmiş doğal emisyon gürültüsü• Kazanç rekabeti

• Çapraz Karışma (CrossTalk)– Tam optik ağ elemanları, aynı işlevleri gören elektronik

veya opto-elektronik elemanlarla karşılaştırıldığında daha az sağlam ve dayanıklıdırlar.

– WDM dalgaboyu kanalları arasında oluşabilecek yüksek derecede çapraz karışma ciddi bir güvenlik problemi doğurabilmektedir.

– Saldıran;• uçlar arasındaki haberleşmeyi tıkamak veya hizmet kalitesini

düşürmek amacıyla, ağ içerisine çeşitli optik işaretler göndermek yoluyla çapraz karışmayı kullanılabilir

– Çapraz karışmanın en önemli zararlarından biri:• Toplanabilirlik• Ağ içindeki hasar, tek bir düğümdeki hasardan daha büyük

olabilir



• Kuvvetlendirilmiş Doğal Emisyon Gürültüsü (ASE Noise)– Enerji düzeyinden oluşan atomik yapıları düşünürsek, enerji

düzeyleri arasında hareket eden atomlar hf0 enerjisine sahip fotonlar yayarlar.

– Yayılan foronlar, optik işaret olarak aynı enerjiye sahip olmalarına karşın, saçılma yönleri ve polarizasyonları farklıdır.

– Kuvvetlendiriciler, doğal emisyon ışımasını hf0 frekansında bir diğer magnetik alan olarak değerlendirir ve dolayısıyla optik işarete ek olarak doğal emisyonda kuvvetlendirilir.

– Kuvvetlendiricilerin çıkışında bu durum gürültü olarak açığa çıkar


• Kazanç Rekabeti (Gain Competition)– Optik lif içindeki WDM kanalları, uyarılmış serbest

fotonlardan oluşan sınırlı bir foton havuzunu paylaşırlar.

– EDFA’nın çıkışında kazanımı daha yüksek olan dalgaboyları, daha düşük kazanımlı dalgaboylarında taşınan fotonları çalarak daha kuvvetli bir işaret üretmeleri mümkün olabilmektedir.

Optik Ağların Karşılaşabileceği Saldırılar

– Tam optik bir ağa gerçekleştirilebilecek saldırılar 3 ana grupta toplanabilir:

• Trafik analizi ve dinleme • Servisin reddi • QoS düşürülmesi

– Servisin reddi ve QoS düşürülmesi saldırıları, saldırılar ve işaret zayıflamasının gerçekleşebileceği tüm düğümlerde belirlenip tanımlanabilmelidir.

– Yüksek veri hızı, kısa sürede çok fazla verinin tehlikeye düşmesine de neden olmaktadır

– Verilerin hedeflerine ulaşmasındaki gecikmeler, büyük miktarda verilerin, iletimin herhangi bir anında kaybolması olarak değerlendirilir.


– Servis Engelleme Saldırıları: (Optik Liflerde)• Optik liflerde, ışık farklı dalgaboyları üzerinden, sadece

frekansa bağlı yayınım gecikmesi (dispersiyon) ve sönüm ile iletilir.

• Saldıranın korunmasız optik life fiziksel erişimi durumunda güvenlik oldukça düşüktür. Kayıplar artabilir.

• Daha az zarar verici bir saldırı:– optik lif içerisinde taşınan ışığa müdahale etmek

– ışığın lif içinde dağılmasını veya lif dışına yönelmesini sağlamak


– Servis Engelleme Saldırıları: (Optik Liflerde)• Bir dalgaboyu üzerinden kurulan bağlantı, kolaylıkla o

dalgaboyu üzerine ışık vererek engellenebilir.

• Optik ağ içinde yerinin tespit edilmesi oldukça zordur.

• Yüksek giriş gücü ve uzun mesafelerde– Optik liflerin lineer davranışı bozulur

– Farklı dalgaboylarındaki işaretlerin birbirlerini kuvvetlendirmesi / söndürmesi sorunu (Çapraz karışma)

Optik Ağların Karşılaşabileceği Saldırılar– Servis Engelleme Saldırıları: (EDFA’ larda)

• EDFA:– girişe gelen optik işareti kuvvetlendirerek olduğu gibi çıkışa

yöneltir – optik işaretin gücü kabul edilebilir bir düzeye çekilir

• Daha güçlü bir kullanıcı olan saldıran, daha zayıf bir kullanıcının fotonlarını çalabilir, böylece sözkonusu kullanıcının kazancını da düşürmüş olur.

• Optik liflerde kayıp oranı çok düşük EDFA’lar uzak mesafelerden gelen işaret bastırma saldırıları (jamming) karşısında güçsüz.

• İşaret Bastırma saldırısının şiddeti:– EDFA konfigürasyonuna– Saldıranın EDFA’ya uzaklığına– Ağ mimarisine bağlıdır.

• Kimi Saldırı anlarında hedefe kaynak tarafından verilen hizmeti saldıranın reddetmesi olasıdır.


– Servis Engelleme Saldırıları: (WSS’lerde)• WSS:

– farklı dalgaboyları üzerinden taşınan optik işaretleri çıkışa yönlendirir

• WSS’nin iki önemli elemanı:– Dalgaboyu ayrıştırıcı (DEMUX)

– Dalgaboyu Çoğullayıcı (MUX)

• WSS’lerin anlamlı çapraz karışma düzeyleri vardır • Bu çapraz karışma düzeyi kullanılarak bir engelleme veya

hizmet reddi saldırısı düzenlenmesi olasıdır.


– Tıkama Saldırıları (Tapping) (Optik Lifler ve EDFA’lar üzerinde)

• Optik life fiziksel erişimle lifin biçimi değiştirilerek işaret bozulabilir veya bir kısmı elde edilebilir.

• Optik lifler, kuvvetlendiricilerin çıkışlarında yüksek çıkış güçlü işaretler taşırlar

– Belirli bir çapraz karışma düzeyi de sergiler

– Optik lif üzerinde taşınan işaretin yayınımını güçlendirerek tıkama olanağı sağlar.

• Bazı EDFA’larda kazanım rekabeti çok hızlı görülür.


– Tıkama Saldırıları (Optik Lifler ve EDFA’lar üzerinde)

• Tıkama Saldırısı + İşaret Bastırma Saldırısı– Servis reddi etkinliğini arttırır– Optik ağda gecikmeler << veri iletim hızı– Saldıran öncelikli olarak bir işareti tıkayıp, aynı

noktadan yeni bir işaret gönderebilir. – Kurbanın çıkış işaret gücü düşükse bu saldırı

daha etkindir.– İşaretin ele geçen kısmı çıkartılıp, hedefe gürültü

gönderilir.– Çok sayıda gecikme de eklenebilirse, hedefe

farklı yollar üzerinden ulaştığı izlenimini uyandırır.

Şekil 5- Bağlantılı Tıkama (correlated tapping)

Optik Ağlarda Güvenlik Konusundaki Zayıflıklar

Saldırılara Karşı Güvenlik Önlemleri

• Güvenlik şemasının 3 bileşeni

– Önüne geçme– Belirleme– Tepki

– Önüne geçme: (Prevention)• Önüne geçme metodlarını 3 ana başlıkta toplayabiliriz:

1. Güvenlik açıklarını donanıma bağlı azaltanlar– Band sınırlayıcı filtreler, belirli bandgenişliğinin

dışındaki işaretlerin geçmesini engellemektedir böylece kazanım rekabeti saldırısının önüne geçmek için kullanılabilir.

– optik liflerin dış ortamdan korunması, böylece dışarıdan ışık veya bir başka fiziksel yolla müdahale edilmesi engellenebilir.

2. Belirli saldırılara karşı geliştirilen iletim şemaları– Tıkama ve işaret bastırma önlemlerinde önemli bir rol oynar– Belirli saldırılara karşı geliştirilen modulasyonlar– İşaret bastırmaya karşı koruma olarak geliştirilen kodlama– İşaretleri akıllıca belirli bandgenişliği ve SNR değerlerinde tutma– Bazı fark mekanizmaları kullanarak saldırıları daha zor kılmak.

3. Tam optik ağlarda protokol ve mimari yapıların tasarımı- Kullanıcıların ayrıştırılması- Yol ve dalgaboyu seçiminde esneklik



– Belirleme (Detection)• 3 fonksiyon

– Olay tanıma– Güvenlik hatası tanımlama– Uyarı yaratma (alarm generation)

• Açık saldırılar için belirleme, daha kolay:– Örnek: optik lifin herhangi bir yerde hasar görmüş olması, alınması

gereken bir denetim işaretinin durması halinde belirlenebilir

• Gizli saldırıları belirlemek daha zor– Oldukça küçük girişimler BER’de göreli büyük artışlara neden olabilir.– Çözüm:

» Farklı fiziksel yoları izlemiş iki bit dizisini karşılaştırmak.» Artık bit dizileri kullanımı (Verilecek tepkide yararlı olabilir)


– Belirleme (Detection)• Alarm yaratma:

– Hata kotarma mekanizmalarından sorumlu elemanlar hızlı bir biçimde uyarılmalıdır.

– Ağdaki diğer düğümler de adaptif olarak önceden planlanmış yanıtlarını değiştirmeleri için uyarılmalıdırlar

– Optik ağın uç düğümlerine verinin bozulmuş olabileceğini bildiren bir işaret gönderilebilir.


– Tepki (Reaction)• Saldırının kaynağını, yeni saldırılar düzenlemesini engellemek

için dışlama• Bileşenlerin yeniden ayarlanması• Yeniden yönlendirmelerin yapılması • Ağın güvenlik durumu veritabanının güncellenmesi.


– Tepki (Reaction)• Zamanında hata kotarmayı garantilemek için, gerçek zamanlı

yazılım çözümlerine bağlı gecikmeleri engellemek amacıyla, önceden planlı yanıtların uygulamaya konması tercih edilmelidir.

– Basit bir önceden planlı yanıt, güvenlik tehditi olarak görülen bir kullanıcının dışlanması olabilir. Bir diğer yaklaşım ise, önceden planlanmış yolları tehlikeye düşmüş ağ kesitlerinde oluşturmaktır

– Bir diğer yaklaşım ise, önceden planlanmış yolları tehlikeye düşmüş ağ kesitlerinde oluşturmaktır

• Bir düğümün veya lifin belirli bir kesitinin saldırıya maruz kaldığına karar verilirse, otomatik koruma anahtarlaması (APS) yoluyla yedek yol üzerinden iletime geçilebilir.

Servis Kalitesinin İzlenerek Güvenlik Sorunlarına Müdahale Edilmesi

– Dinamik dalgaboyu yönlendirme kullanarak bir ışık yolu boyunca taşınan işaretin servis kalitesini görüntülemek için bağ-bağ bütünlük testi.

– Gereksinim duyulan ön veriler:• güç düzeyleri • kuvvetlendirici kazanç istatistikleri • çapraz karışma• ASE bileşenleri

– Işık yollarının denetim ve yönetimi: Genelleştirilmiş Çok Protokollü Etiket Anahtarlama (GMPLS )

• seçilen yol üzerinde ışık yolu oluşturulması • bağlantıya bir dalgaboyu atanması • ağdaki optik anahtarların ayarlanması • her bir bağ üzerinde hangi dalgaboylarının kullanıldığının

güncellemesinin yapılması

Servis Kalitesinin İzlenerek Güvenlik Sorunlarına Müdahale Edilmesi

– Işık yolu kurulumu aşamasında performansa bağlı parametrelerin düğümler arasında değiş tokuşu.

– Işık yolu• Kaynak-Hedef arasında çok sayıda noktadan noktaya iletim

bağından oluşan uçtan uca bir bağlantıdır.• VN’lerin giriş ve/veya çıkış iskelelerinde BER belirleme,

kısmen bir VLP ve tabii ki bütün ışık yolu üzerinde iletilen işaretlerin kalitesinin değerlendirilmesinde kullanılabilir.

• Böylece, QoS düşmesi ve buna neden olan saldırıların ve yerlerinin hızlıca belirlenmesi sağlanır.

Servis Kalitesinin İzlenerek Güvenlik Sorunlarına Müdahale

Edilmesi• QoS izlenimi

• Her noktada ağı yaşanabilecek saldırılardan korumak

• Karşılanması gereken gereksinimler:

• Işık yolları boyunca başarım kaybının hızlı ve doğru tespiti

• Servis engelleme ve QoS kaybının yerinin kolayca belirlenmesi.

• Kaynağın tanınması ve tanımlanması ile ağdaki servis engellenmesinin özünün görüntülenmesi.

Sonuçlar• Tam optik ağların yapıları gereği fiziksel güvenlik sorunlarına açıktır.

– Servisin Reddi– Tıkama Saldırıları

• Optik ağların saydam geçiş özelliği çapraz karışma, doğal güçlendirilmiş emisyon gürültüsü, kazanç rekabeti gibi sorunları da beraberinde getirmektedir.

• Bu sorunların her biri bir güvenlik saldırısı aracı olarak kullanılabilir• Tam optik ağlara birtakım geleneksel teknikler uygulanabilir

– karşı önlemler alınırken, tam optik ağların fiziksel yapıları ve mimarilerinin göz önüne alınarak sorunların düşünülmesi gerekmektedir.

• Servis engelleme de bir diğer önemli saldırı olabilmektedir– Daha önceki çalışmalarda bağdan bağa başarımı test eden bir metod

önerilmiştir, ancak hala gereksinimleri karşılanmamıştır.• Bir ağ yönetim sisteminin de garantili, etkin ve sürekli haberleşme

sağlanmasındaki önemi göz önünde bulundurulmalıdır.

optİk aĞlarin gÜvenlİĞİ f. esİn akin 1306030081

Documents