Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Bilgisayar Ağlarında Güvenlik Optik Ağların Güvenliği Burak KANTARCI.

Benzer bir sunumlar


... konulu sunumlar: "Bilgisayar Ağlarında Güvenlik Optik Ağların Güvenliği Burak KANTARCI."— Sunum transkripti:

1 Bilgisayar Ağlarında Güvenlik Optik Ağların Güvenliği Burak KANTARCI

2 Optik Ağların Güvenliği Giriş Giriş Tam Optik Ağlar Tam Optik Ağlar Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Optik Ağlarda Güvenlik Konusundaki Zayıflıklar –Optik Ağların Karşılaşabileceği Saldırılar Servis Engelleme Saldırıları Servis Engelleme Saldırıları Tıkama Saldırıları Tıkama Saldırıları –Saldırılara Karşı güvenlik Önlemleri Önüne Geçme Önüne Geçme Belirleme Belirleme Tepki Tepki Servis Kalitesinin İzlenerek Güvenlik Sorunlarına Müdahale Edilmesi Servis Kalitesinin İzlenerek Güvenlik Sorunlarına Müdahale Edilmesi Sonuçlar Sonuçlar

3 Giriş Yüksek bandgenişliği gereksinimi verilerin optik ortam üzerinden yüksek hızlarda taşınması gündeme gelmiştir. Yüksek bandgenişliği gereksinimi verilerin optik ortam üzerinden yüksek hızlarda taşınması gündeme gelmiştir. Pratikte 100Gbps düzeyinde iletim hızında hizmet verebilen tam optik ağların Tbs (terabit / s) düzeyinde iletime olanak verebildiği laboratuvar ortamında gösterilmiştir. Pratikte 100Gbps düzeyinde iletim hızında hizmet verebilen tam optik ağların Tbs (terabit / s) düzeyinde iletime olanak verebildiği laboratuvar ortamında gösterilmiştir. Tam optik ağların sunduğu en önemli kazanımlardan biri, veri transferine saydamlık kazandırmasıdır. Tam optik ağların sunduğu en önemli kazanımlardan biri, veri transferine saydamlık kazandırmasıdır. Tam optik haberleşmenin çok yüksek hızlarda gerçeklendiği bilindiğinden, optik ağların güvenliği konusundaki çalışmalar çok yeni ve daha kısıtlıdır. Tam optik haberleşmenin çok yüksek hızlarda gerçeklendiği bilindiğinden, optik ağların güvenliği konusundaki çalışmalar çok yeni ve daha kısıtlıdır.

4 Giriş Optik ağlarda güvenlik temel olarak 2 ana başlıkta toplanmaktadır: Optik ağlarda güvenlik temel olarak 2 ana başlıkta toplanmaktadır: –Fiziksel ortam güvenliği Bilginin bütünlüğü ve gizliliği Bilginin bütünlüğü ve gizliliği –Anlamsal güvenlik. saldıranın iletim kanalına erişimi durumunda bilginin korunması saldıranın iletim kanalına erişimi durumunda bilginin korunması

5 Tam Optik Ağlar Tam Optik Ağlar 2 ana kategoride toplanırlar Tam Optik Ağlar 2 ana kategoride toplanırlar –TDM kipinde hizmet veren optik ağlar –WDM kipinde hizmet veren optik ağlar En yaygın kullanılan çoğullama yöntemi En yaygın kullanılan çoğullama yöntemi –Dalgaboyu bölümlemeli çoğullama (WDM) Bir optik lifin bandgenişliği her biri 10Gbpskapasiteye sahip çok sayıda dalgaboyu kanalına bölünür Bir optik lifin bandgenişliği her biri 10Gbpskapasiteye sahip çok sayıda dalgaboyu kanalına bölünür Veri iletimi dalgaboyu kanalları üzerinden, dalgaboyu/frekans seçici anahtarlar (WSS) aracılığıyla gerçeklenir. Veri iletimi dalgaboyu kanalları üzerinden, dalgaboyu/frekans seçici anahtarlar (WSS) aracılığıyla gerçeklenir.

6 Tam Optik Ağlar Haberleşecek iki uç arasında bir sanal devre kurulur Haberleşecek iki uç arasında bir sanal devre kurulur –Bağlantıya bir dalgaboyu atanır –Dalgaboyu Yönlendirme (WR) Şekil 1’de: Şekil 1’de: –Sol üst köşedeki kullanıcı 8 dalgaboyunu farklı uçlarla kurduğu bağlantılar için kullanır. Bir bağlantı için birden fazla dalgaboyu da kullanılabilir. Bir bağlantı için birden fazla dalgaboyu da kullanılabilir. –Yol üzerinde dalgaboyu dönüştürme işlemi. –Maliyeti yüksek Şekil-1. Tam optik bir WDM ağ

7 Tam Optik Ağlar Optik ağların kimi özelliklerinin doğurabileceği güvenlik sorunları Optik ağların kimi özelliklerinin doğurabileceği güvenlik sorunları – saldıranın trafiği analiz etmesi – servis kalitesini düşürmesi – iletim kanalını dinlemesi –servisin reddini gerçeklemesine olanak tanıması Yüksek hız ve kapasitede iletişimin ortaya çıkardığı iki sonuç: Yüksek hız ve kapasitede iletişimin ortaya çıkardığı iki sonuç: –Saldırılar, kısa süreli ve seyrek dahi olsa, saldırıya maruz kalan verinin miktarı çok büyüktür. –Uç kullanıcıların haberleşme protokolleri, daha yavaş ve elektronik ortamlar için tasarlanmış protokoller olabilir Örnek: TCP/IP gibi bir protokol grubu, uzun measfelerde ve yüksek hızlarda, servisin reddi saldırılarına açıktır. Örnek: TCP/IP gibi bir protokol grubu, uzun measfelerde ve yüksek hızlarda, servisin reddi saldırılarına açıktır.

8 Tam Optik Ağlar Gönderilen işaretler elektronik tabanlı veya elektro-optik ağlarda olduğu gibi ara düğümlerde yeniden oluşturulmazlar Gönderilen işaretler elektronik tabanlı veya elektro-optik ağlarda olduğu gibi ara düğümlerde yeniden oluşturulmazlar –Saydam geçiş Kimi ara düğümlerde optik kuvvetlendiriciler (OA) bulunur. Kimi ara düğümlerde optik kuvvetlendiriciler (OA) bulunur. Verilerin ağ üzerinde saydam geçişi birtakım güvenlik sorunları yaratabilmektedir. Verilerin ağ üzerinde saydam geçişi birtakım güvenlik sorunları yaratabilmektedir.

9 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Güvenlik Sorununa Neden Olabilecek Durumlar WSS ve tam optik kuvvetlendiriciler tarafından sağlanan saydam geçiş olanağı, halen üzerinde çalışılan birtakım güvenlik açıklarına neden olabilecek durumlar da doğurabilmektedir. WSS ve tam optik kuvvetlendiriciler tarafından sağlanan saydam geçiş olanağı, halen üzerinde çalışılan birtakım güvenlik açıklarına neden olabilecek durumlar da doğurabilmektedir. Çapraz karışma Çapraz karışma Kuvvetlendirilmiş doğal emisyon gürültüsü Kuvvetlendirilmiş doğal emisyon gürültüsü Kazanç rekabeti Kazanç rekabeti

10 Çapraz Karışma (CrossTalk) Çapraz Karışma (CrossTalk) –Tam optik ağ elemanları, aynı işlevleri gören elektronik veya opto-elektronik elemanlarla karşılaştırıldığında daha az sağlam ve dayanıklıdırlar. –WDM dalgaboyu kanalları arasında oluşabilecek yüksek derecede çapraz karışma ciddi bir güvenlik problemi doğurabilmektedir. –Saldıran; uçlar arasındaki haberleşmeyi tıkamak veya hizmet kalitesini düşürmek amacıyla, ağ içerisine çeşitli optik işaretler göndermek yoluyla çapraz karışmayı kullanılabilir uçlar arasındaki haberleşmeyi tıkamak veya hizmet kalitesini düşürmek amacıyla, ağ içerisine çeşitli optik işaretler göndermek yoluyla çapraz karışmayı kullanılabilir Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Güvenlik Sorununa Neden Olabilecek Durumlar

11 Çapraz Karışma (CrossTalk) Çapraz Karışma (CrossTalk) –Pratikte (-20dB, -30dB) arası çapraz karışma düzeyi ayrıştırıcı ve çoğullayıcılar için uygundur. –-30dB düzeyinde bir çapraz karışma dahi ciddi güvenlik sorunları yaratabilmektedir. –Çapraz karışmanın en önemli zararlarından biri: Toplanabilirlik Toplanabilirlik Ağ içindeki hasar, tek bir düğümdeki hasardan daha büyük olabilir Ağ içindeki hasar, tek bir düğümdeki hasardan daha büyük olabilir Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Güvenlik Sorununa Neden Olabilecek Durumlar

12 Çapraz Karışma (CrossTalk) Çapraz Karışma (CrossTalk) Şekil-2. Bir çapraz karışma örneği

13 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Güvenlik Sorununa Neden Olabilecek Durumlar Kuvvetlendirilmiş Doğal Emisyon Gürültüsü (ASE Noise) Kuvvetlendirilmiş Doğal Emisyon Gürültüsü (ASE Noise) –Bir atomik sistemde E1 (alçak) ve E2 (yüksek) iki enerji düzeyi olsun. –E2’den E1’e inen fotonlar hf c enerjisinde foton yayarlar –E2->E1 emisyon oranı bir sistemk arakteristiği olarak düşünülüp τ 21 emisyon süresini gösterir. E2’de N 2 atom bulunuyorsa doğal emisyon oranı: E2’de N 2 atom bulunuyorsa doğal emisyon oranı: –N 2 / τ 21. Doğal Emisyon gücü: Doğal Emisyon gücü: –hf c * N 2 / τ 21. –Yayılan fotonlar, optik işaret olarak aynı enerjiye sahip olmalarına karşın, saçılma yönleri ve polarizasyonları farklıdır.

14 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Güvenlik Sorununa Neden Olabilecek Durumlar Kuvvetlendirilmiş Doğal Emisyon Gürültüsü (ASE Noise) Kuvvetlendirilmiş Doğal Emisyon Gürültüsü (ASE Noise) –Kuvvetlendiriciler doğal emisyon ışımasını hf c frekansında bir diğer magnetik alan olarak değerlendirirler. Optik işaretle birlikte doğal emisyon da kuvvetlendirilir. Optik işaretle birlikte doğal emisyon da kuvvetlendirilir. Kuvvetlendirici çıkışında bu durum, gürültü olarka açığa çıkar. Kuvvetlendirici çıkışında bu durum, gürültü olarka açığa çıkar.

15 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Güvenlik Sorununa Neden Olabilecek Durumlar Kazanç Rekabeti (Gain Competition) Kazanç Rekabeti (Gain Competition) –Optik lif içindeki WDM kanalları, uyarılmış serbest fotonlardan oluşan sınırlı bir foton havuzunu paylaşırlar. –EDFA’nın çıkışında kazanımı daha yüksek olan dalgaboyları, daha düşük kazanımlı dalgaboylarında taşınan fotonları çalarak daha kuvvetli bir işaret üretmeleri mümkün olabilmektedir.

16 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Güvenlik Sorununa Neden Olabilecek Durumlar Kazanç Rekabeti (Gain Competition) Kazanç Rekabeti (Gain Competition) Şekil-3. Kazanç Rekabeti

17 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Optik Ağların Karşılaşabileceği Saldırılar –Tam optik bir ağa gerçekleştirilebilecek saldırılar 3 ana grupta toplanabilir: Trafik analizi ve dinleme Trafik analizi ve dinleme Servisin reddi Servisin reddi QoS düşürülmesi QoS düşürülmesi –Servisin reddi ve QoS düşürülmesi saldırıları, saldırılar ve işaret zayıflamasının gerçekleşebileceği tüm düğümlerde belirlenip tanımlanabilmelidir. –Yüksek veri hızı, kısa sürede çok fazla verinin tehlikeye düşmesine de neden olmaktadır –Verilerin hedeflerine ulaşmasındaki gecikmeler, büyük miktarda verilerin, iletimin herhangi bir anında kaybolması olarak değerlendirilir.

18 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Optik Ağların Karşılaşabileceği Saldırılar –t anında, hata olarak tespit edilen bir saldırı, çok hızlı bir şekilde ağdaki düğümlere yayılır –Eğer saldırılar tüm düğümlerde belirlenmemişse, ağ yönetim sistemi (NMS) tarafından, uygun olmayan işlemler gerçekleştirilebilir. –Düğümlerde, saldırıların sınanması sıklığı veri iletim hızının bir fonksiyonu olmalıdır.

19 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Optik Ağların Karşılaşabileceği Saldırılar –Servis Engelleme Saldırıları: (Optik Liflerde) Optik liflerde, ışık farklı dalgaboyları üzerinden, sadece frekansa bağlı yayınım gecikmesi (dispersiyon) ve sönüm ile iletilir. Optik liflerde, ışık farklı dalgaboyları üzerinden, sadece frekansa bağlı yayınım gecikmesi (dispersiyon) ve sönüm ile iletilir. –Optik liflerde kayıp:  0.2 db / km  Lineer Davranış Saldıranın korunmasız optik life fiziksel erişimi durumunda güvenlik oldukça düşüktür. Kayıplar artabilir. Saldıranın korunmasız optik life fiziksel erişimi durumunda güvenlik oldukça düşüktür. Kayıplar artabilir. Daha az zarar verici bir saldırı: Daha az zarar verici bir saldırı: –optik lif içerisinde taşınan ışığa müdahale etmek –ışığın lif içinde dağılmasını veya lif dışına yönelmesini sağlamak

20 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Optik Ağların Karşılaşabileceği Saldırılar –Servis Engelleme Saldırıları: (Optik Liflerde) Daha az zarar verici bir saldırı: Daha az zarar verici bir saldırı: –optik lif içerisinde taşınan ışığa müdahale etmek –ışığın lif içinde dağılmasını veya lif dışına yönelmesini sağlamak Bir dalgaboyu üzerinden kurulan bağlantı, kolaylıkla o dalgaboyu üzerine ışık vererek engellenebilir. Bir dalgaboyu üzerinden kurulan bağlantı, kolaylıkla o dalgaboyu üzerine ışık vererek engellenebilir. Optik ağ içinde yerinin tespit edilmesi oldukça zordur. Optik ağ içinde yerinin tespit edilmesi oldukça zordur. Yüksek giriş gücü ve uzun mesafelerde Yüksek giriş gücü ve uzun mesafelerde –Optik liflerin lineer davranışı bozulur –Farklı dalgaboylarındaki işaretlerin birbirlerini kuvvetlendirmesi / söndürmesi sorunu (Çapraz karışma)

21 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Optik Ağların Karşılaşabileceği Saldırılar –Servis Engelleme Saldırıları: (EDFA’ larda) EDFA: EDFA: –girişe gelen optik işareti kuvvetlendirerek olduğu gibi çıkışa yöneltir –optik işaretin gücü kabul edilebilir bir düzeye çekilir –KAZANÇ REKABETİ SORUNU !!! Daha güçlü bir kullanıcı olan saldıran, daha zayıf bir kullanıcının fotonlarını çalabilir, böylece sözkonusu kullanıcının kazancını da düşürmüş olur. Daha güçlü bir kullanıcı olan saldıran, daha zayıf bir kullanıcının fotonlarını çalabilir, böylece sözkonusu kullanıcının kazancını da düşürmüş olur. Optik liflerde kayıp oranı çok düşük  EDFA’lar uzak mesafelerden gelen işaret bastırma saldırıları (jamming) karşısında güçsüz. Optik liflerde kayıp oranı çok düşük  EDFA’lar uzak mesafelerden gelen işaret bastırma saldırıları (jamming) karşısında güçsüz.

22 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Optik Ağların Karşılaşabileceği Saldırılar –Servis Engelleme Saldırıları: (EDFA’ larda) İşaret Bastırma saldırısının şiddeti: İşaret Bastırma saldırısının şiddeti: –EDFA konfigürasyonuna –Saldıranın EDFA’ya uzaklığına –Ağ mimarisine bağlıdır. Kimi Saldırı anlarında hedefe kaynak tarafından verilen hizmeti saldıranın reddetmesi olasıdır. Kimi Saldırı anlarında hedefe kaynak tarafından verilen hizmeti saldıranın reddetmesi olasıdır.

23 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Optik Ağların Karşılaşabileceği Saldırılar –Servis Engelleme Saldırıları: (WSS’lerde) WSS: WSS: –farklı dalgaboyları üzerinden taşınan optik işaretleri çıkışa yönlendirir WSS’nin iki önemli elemanı: WSS’nin iki önemli elemanı: –Dalgaboyu ayrıştırıcı (DEMUX) –Dalgaboyu Çoğullayıcı (MUX) Şekil 4- WSS

24 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Optik Ağların Karşılaşabileceği Saldırılar –Servis Engelleme Saldırıları: (WSS’lerde) WSS’lerin anlamlı çapraz karışma düzeyleri vardır WSS’lerin anlamlı çapraz karışma düzeyleri vardır Bu çapraz karışma düzeyi kullanılarak bir engelleme veya hizmet reddi saldırısı düzenlenmesi olasıdır. Bu çapraz karışma düzeyi kullanılarak bir engelleme veya hizmet reddi saldırısı düzenlenmesi olasıdır. –Saldıran yeterince güçlü bir işareti fiber üzerinden geçirirse, WSS’de anahtarlama düzlemlerinin çıkışında, belirli bir oranının reddedilmek istenen hizmeti taşıyan işaret üzerine kırılması ve o iki uç arasındaki iletişimin engellenmesi mümkündür.

25 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Optik Ağların Karşılaşabileceği Saldırılar –Servis Engelleme Saldırıları: (WSS’lerde) Bir diğer saldırı örneği: Bir diğer saldırı örneği: –Açık / kapalı anahtarlı işareti alıcının uyum sağlayamayacağı hızda (bps) ve alıcıda filtrelenmeyecek kadar da yavaş üreterek göndermek. Şekil-4’teki kullanıcı-1 mavi düzlemin çıkışındaki EDFA’yı bastırmak için bir bastırıcı işaret gönderir ve o EDFA ile kuvvetlendirilecek tüm işaretleri bastırmış olur. Şekil-4’teki kullanıcı-1 mavi düzlemin çıkışındaki EDFA’yı bastırmak için bir bastırıcı işaret gönderir ve o EDFA ile kuvvetlendirilecek tüm işaretleri bastırmış olur. Dikkat: Elektro-optik bir ağ üzerinde çalışsaydık, işaretlerin ara düğümlerde yeniden yaratılması bu sorunları ortadan kaldırırdı. Dikkat: Elektro-optik bir ağ üzerinde çalışsaydık, işaretlerin ara düğümlerde yeniden yaratılması bu sorunları ortadan kaldırırdı.

26 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Optik Ağların Karşılaşabileceği Saldırılar –Tıkama Saldırıları (Tapping) (Optik Lifler ve EDFA’lar üzerinde) Optik life fiziksel erişimle lifin biçimi değiştirilerek işaret bozulabilir veya bir kısmı elde edilebilir. Optik life fiziksel erişimle lifin biçimi değiştirilerek işaret bozulabilir veya bir kısmı elde edilebilir. Optik lifler, kuvvetlendiricilerin çıkışlarında yüksek çıkış güçlü işaretler taşırlar Optik lifler, kuvvetlendiricilerin çıkışlarında yüksek çıkış güçlü işaretler taşırlar –Belirli bir çapraz karışma düzeyi de sergiler –Optik lif üzerinde taşınan işaretin yayınımını güçlendirerek tıkama olanağı sağlar. Bazı EDFA’larda kazanım rekabeti çok hızlı görülür. Bazı EDFA’larda kazanım rekabeti çok hızlı görülür. –Çapraz modulasyon etkisi gözlenerek tıkama saldırısı.

27 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Optik Ağların Karşılaşabileceği Saldırılar –Tıkama Saldırıları (Optik Lifler ve EDFA’lar üzerinde) Tıkama Saldırısı + İşaret Bastırma Saldırısı Tıkama Saldırısı + İşaret Bastırma Saldırısı –Servis reddi etkinliğini arttırır –Optik ağda gecikmeler << veri iletim hızı –Saldıran öncelikli olarak bir işareti tıkayıp, aynı noktadan yeni bir işaret gönderebilir. –Kurbanın çıkış işaret gücü düşükse bu saldırı daha etkindir. –İşaretin ele geçen kısmı çıkartılıp, hedefe gürültü gönderilir. –Çok sayıda gecikme de eklenebilirse, hedefe farklı yollar üzerinden ulaştığı izlenimini uyandırır. Şekil 5- Bağlantılı Tıkama (correlated tapping)

28 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Optik Ağların Karşılaşabileceği Saldırılar –Tıkama Saldırıları (WSS’ler üzerinde) Şekil-4’teki örneğe dönelim. Şekil-4’teki örneğe dönelim. Kullanıcı-1’in saldırısına karşı en etkin çözüm: Kullanıcı-1’in saldırısına karşı en etkin çözüm: –Sadece o çıkıştan gelmesi beklenen işareti güçlendir. (Yazılım tabanlı bir çözüm) –Maliyeti çok yüksek. –Her bir dalgaboyu için bir EDFA yazılımına ihtiyaç olacaktır.

29 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Optik Ağların Karşılaşabileceği Saldırılar –Tıkama Saldırıları (WSS’ler üzerinde) Şekil 5: Saldıranın alabileceğı bir diğer önlem Şekil 5: Saldıranın alabileceğı bir diğer önlem Çözüm: Ağ denetim algoritmaları zayıf işaretlere ekstra kuvvetlendirme uygulayabilirler. Çözüm: Ağ denetim algoritmaları zayıf işaretlere ekstra kuvvetlendirme uygulayabilirler. Şekil 6: WSS üzerinden tıkama saldırısı

30 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Saldırılara Karşı Güvenlik Önlemleri Güvenlik şemasının 3 bileşeni Güvenlik şemasının 3 bileşeni –Önüne geçme –Belirleme –Tepki Varsayım: Varsayım: –Güvenlik önlemleri için, merkezi veya dağıtık bir ağ yönetim ve denetim birimi ile bir güvenlik durumu veritabanı bulunmaktadır.

31 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Saldırılara Karşı Güvenlik Önlemleri –Önüne geçme: (Prevention) Önüne geçme metodlarını 3 ana başlıkta toplayabiliriz: Önüne geçme metodlarını 3 ana başlıkta toplayabiliriz: –Güvenlik açıklarını donanıma bağlı azaltanlar –Belirli saldırılara karşı geliştirilen iletim şemaları –Tam optik ağlarda protokol ve mimari yapıların tasarımı

32 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Saldırılara Karşı Güvenlik Önlemleri –Önüne geçme: (Prevention)- Donanım Önlemleri İşaret bastırma saldırılarına karşı İşaret bastırma saldırılarına karşı –WSS’lerin çıkışında belirli kuvvetteki işaretlerin geçirilip, geri kalanların geçirilmemesi için sınırlı optik kuvvetlendiriciler (OLA) kullanımı. Kazanım rekabeti saldırısına karşı Kazanım rekabeti saldırısına karşı –Band sınırlayıcı filtreler, belirli bandgenişliğinin dışındaki işaretlerin geçmesini engellemektedir Tıkama saldırılarına karşı Tıkama saldırılarına karşı –LAN güvenliği için: Optik liflerin dış ortamdan korunması –WAN ağlar için: Çapraz karışma düzeyi düşük cihazlar kullanımı.

33 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Saldırılara Karşı Güvenlik Önlemleri –Önüne geçme: (Prevention)- İletim Şemaları Tıkama ve işaret bastırma önlemlerinde önemli bir rol oynar Tıkama ve işaret bastırma önlemlerinde önemli bir rol oynar Belirli saldırılara karşı geliştirilen modulasyonlar Belirli saldırılara karşı geliştirilen modulasyonlar İşaret bastırmaya karşı koruma olarak geliştirilen kodlama İşaret bastırmaya karşı koruma olarak geliştirilen kodlama İşaretleri akıllıca belirli bandgenişliği ve SNR değerlerinde tutma İşaretleri akıllıca belirli bandgenişliği ve SNR değerlerinde tutma Bazı fark mekanizmaları kullanarak saldırıları daha zor kılmak. Bazı fark mekanizmaları kullanarak saldırıları daha zor kılmak. CDMA’daki kodlama şeması kablosuz ortam ve daha sınırlı bandgenişliği için uygun olduğundan, TDMA benzeri bir kodlama. CDMA’daki kodlama şeması kablosuz ortam ve daha sınırlı bandgenişliği için uygun olduğundan, TDMA benzeri bir kodlama.

34 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Saldırılara Karşı Güvenlik Önlemleri –Önüne geçme: (Prevention)- Protokol ve mimari yapıları tasarımı Kullanıcıların ayrıştırılması Kullanıcıların ayrıştırılması Yol ve dalgaboyu seçiminde esneklik Yol ve dalgaboyu seçiminde esneklik Ağdaki düğümler arasına bağlantılar eklemek,bir işaretin farklı yollardan yönlendirilebilmesi olanağını sağlasa da, ağın bazı kısımlarını yeni saldırılara açık hale getirir. Ağdaki düğümler arasına bağlantılar eklemek,bir işaretin farklı yollardan yönlendirilebilmesi olanağını sağlasa da, ağın bazı kısımlarını yeni saldırılara açık hale getirir. Örnek: Halka topoloji Örnek: Halka topoloji –halka üzerinde WDM kullanımı, farklı düğümler arasında farklı dalgaboylarının trafik taşımasına izin vermesi açısından avantajlıdır, böylece tüm trafik aynı dalgaboyu üzerinden akmaması ile belirli tehlikeler azaltılmış olur.

35 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Saldırılara Karşı Güvenlik Önlemleri –Belirleme (Detection) 3 fonksiyon 3 fonksiyon –Olay tanıma –Güvenlik hatası tanımlama –Uyarı yaratma (alarm generation) Açık saldırılar için belirleme, daha kolay: Açık saldırılar için belirleme, daha kolay: –Örnek: optik lifin herhangi bir yerde hasar görmüş olması, alınması gereken bir denetim işaretinin durması halinde belirlenebilir –Yüksek çıkış güçlü işaret bastırma saldırıları düzenleyenler ise bir güç entegratörü ile ölçülerek belirlenebilir Gizli saldırıları belirlemek daha zor Gizli saldırıları belirlemek daha zor –Optik lif üzerinde BER(bir error rate) ≤ –Oldukça küçük girişimler BER’de göreli büyük artışlara neden olabilir. –Çözüm:  Farklı fiziksel yoları izlemiş iki bit dizisini karşılaştırmak.  Artık bit dizileri kullanımı (Verilecek tepkide yararlı olabilir)

36 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Saldırılara Karşı Güvenlik Önlemleri –Belirleme (Detection) Güvenlik hatasının yeri ve saldırı tipini tanıma diğer ağlara göre daha zordur. Güvenlik hatasının yeri ve saldırı tipini tanıma diğer ağlara göre daha zordur. Veri iletimindeki saydamlık, düğümleri görüntülemeyi zorlaştırmaktadır. Veri iletimindeki saydamlık, düğümleri görüntülemeyi zorlaştırmaktadır. –Bir işareti bastırma hatası saydam bir şekilde ağ üzerinden akarak hızla yayılabilir. Alarmları ilişkilendirme ve hataları tanımlama algoritmalarını çalıştırmanın, bu algoritmaların ağ boyutuna bağlı olarak polinomsal karmaşıklığa sahip olmaları durumunda da gerekli olan hızlı belirleme süresine göre kabul edilemeyecek kadar büyük olup olmadığı çok net değildir. Alarmları ilişkilendirme ve hataları tanımlama algoritmalarını çalıştırmanın, bu algoritmaların ağ boyutuna bağlı olarak polinomsal karmaşıklığa sahip olmaları durumunda da gerekli olan hızlı belirleme süresine göre kabul edilemeyecek kadar büyük olup olmadığı çok net değildir. Çözüm: Belirli alarm kümeleri tanımlanıp, bu kümeler için önceden planlanmış yanıtlar tanımlanmalıdır. Çözüm: Belirli alarm kümeleri tanımlanıp, bu kümeler için önceden planlanmış yanıtlar tanımlanmalıdır.

37 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Saldırılara Karşı Güvenlik Önlemleri –Belirleme (Detection) Alarm yaratma: Alarm yaratma: –Hata kotarma mekanizmalarından sorumlu elemanlar hızlı bir biçimde uyarılmalıdır. –Ağdaki diğer düğümler de adaptif olarak önceden planlanmış yanıtlarını değiştirmeleri için uyarılmalıdırlar –Optik ağın uç düğümlerine verinin bozulmuş olabileceğini bildiren bir işaret gönderilebilir.

38 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Saldırılara Karşı Güvenlik Önlemleri –Tepki (Reaction) Saldırının kaynağını, yeni saldırılar düzenlemesini engellemek için dışlama Saldırının kaynağını, yeni saldırılar düzenlemesini engellemek için dışlama Bileşenlerin yeniden ayarlanması Bileşenlerin yeniden ayarlanması Yeniden yönlendirmelerin yapılması Yeniden yönlendirmelerin yapılması Ağın güvenlik durumu veritabanının güncellenmesi. Ağın güvenlik durumu veritabanının güncellenmesi.

39 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Saldırılara Karşı Güvenlik Önlemleri –Tepki (Reaction) Zamanında hata kotarmayı garantilemek için, gerçek zamanlı yazılım çözümlerine bağlı gecikmeleri engellemek amacıyla, önceden planlı yanıtların uygulamaya konması tercih edilmelidir. Zamanında hata kotarmayı garantilemek için, gerçek zamanlı yazılım çözümlerine bağlı gecikmeleri engellemek amacıyla, önceden planlı yanıtların uygulamaya konması tercih edilmelidir. –Basit bir önceden planlı yanıt, güvenlik tehditi olarak görülen bir kullanıcının dışlanması olabilir. Bir diğer yaklaşım ise, önceden planlanmış yolları tehlikeye düşmüş ağ kesitlerinde oluşturmaktır –Bir diğer yaklaşım ise, önceden planlanmış yolları tehlikeye düşmüş ağ kesitlerinde oluşturmaktır Bir düğümün veya lifin belirli bir kesitinin saldırıya maruz kaldığına karar verilirse, otomatik koruma anahtarlaması (APS) yoluyla yedek yol üzerinden iletime geçilebilir. Bir düğümün veya lifin belirli bir kesitinin saldırıya maruz kaldığına karar verilirse, otomatik koruma anahtarlaması (APS) yoluyla yedek yol üzerinden iletime geçilebilir.

40 Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Saldırılara Karşı Güvenlik Önlemleri –Tepki (Reaction) APS yoluyla bir optik lifin yalıtılması ADM’ler (add-drop multiplexer) yoluyla gerçeklenir APS yoluyla bir optik lifin yalıtılması ADM’ler (add-drop multiplexer) yoluyla gerçeklenir Opto-mekanik ADM Opto-mekanik ADM –bir kaç 10ms süre içinde anahtarlanma sağlayabilir –çok düşük çapraz karışmaya neden olur. Akusto-optik ADM’ler Akusto-optik ADM’ler –mikrosaniyeler mertebesinde anahtarlanmayı sağlar L Lityum-niobate anahtarlar Lityum-niobate anahtarlar –nanosaniyeler mertebesinde anahtarlanmayı gerçekleyebilirler. Son iki çeşit ADM’ler çok yüksek çapraz karışmaya neden olurlar. Son iki çeşit ADM’ler çok yüksek çapraz karışmaya neden olurlar.

41 Servis Kalitesinin İzlenerek Güvenlik Sorunlarına Müdahale Edilmesi –Dinamik dalgaboyu yönlendirme kullanarak bir ışık yolu boyunca taşınan işaretin servis kalitesini görüntülemek için bağ-bağ bütünlük testi. –Gereksinim duyulan ön veriler: güç düzeyleri güç düzeyleri kuvvetlendirici kazanç istatistikleri kuvvetlendirici kazanç istatistikleri çapraz karışma çapraz karışma ASE bileşenleri ASE bileşenleri –Işık yollarının denetim ve yönetimi: Genelleştirilmiş Çok Protokollü Etiket Anahtarlama (GMPLS ) seçilen yol üzerinde ışık yolu oluşturulması seçilen yol üzerinde ışık yolu oluşturulması bağlantıya bir dalgaboyu atanması bağlantıya bir dalgaboyu atanması ağdaki optik anahtarların ayarlanması ağdaki optik anahtarların ayarlanması her bir bağ üzerinde hangi dalgaboylarının kullanıldığının güncellemesinin yapılması her bir bağ üzerinde hangi dalgaboylarının kullanıldığının güncellemesinin yapılması

42 Servis Kalitesinin İzlenerek Güvenlik Sorunlarına Müdahale Edilmesi –Işık yolu kurulumu aşamasında performansa bağlı parametrelerin düğümler arasında değiş tokuşu. –Işık yolu Kaynak-Hedef arasında çok sayıda noktadan noktaya sanal ışık yolu (VLP) ve sanal düğüm (VN). Kaynak-Hedef arasında çok sayıda noktadan noktaya sanal ışık yolu (VLP) ve sanal düğüm (VN). VN’lerin giriş ve/veya çıkış iskelelerinde BER belirleme, kısmen bir VLP ve tabii ki bütün ışık yolu üzerinde iletilen işaretlerin kalitesinin değerlendirilmesinde kullanılabilir. VN’lerin giriş ve/veya çıkış iskelelerinde BER belirleme, kısmen bir VLP ve tabii ki bütün ışık yolu üzerinde iletilen işaretlerin kalitesinin değerlendirilmesinde kullanılabilir. Böylece, QoS düşmesi ve buna neden olan saldırıların ve yerlerinin hızlıca belirlenmesi sağlanır. Böylece, QoS düşmesi ve buna neden olan saldırıların ve yerlerinin hızlıca belirlenmesi sağlanır.

43 Servis Kalitesinin İzlenerek Güvenlik Sorunlarına Müdahale Edilmesi

44 BER, bir ışık yoluna ilişkin anahtar başarım özelliği ve yalnızca elektriksel ortamda olduğunda belirlenebiliyor.BER, bir ışık yoluna ilişkin anahtar başarım özelliği ve yalnızca elektriksel ortamda olduğunda belirlenebiliyor. Bir belirleme cihazı: QoSG (QoS Guard)Bir belirleme cihazı: QoSG (QoS Guard) Optik işlem birimi (OPU)Optik işlem birimi (OPU) Servis kalitesi birimi (QoSU)Servis kalitesi birimi (QoSU) QoSG’deki belirleme işlemleri: QoSG’deki belirleme işlemleri: –BER düşüşlerini tespit edilmesi –gerekli uyarı işaretlerinin oluşturulmasının tetiklenmesi (Ne zaman? BER ≤

45 Servis Kalitesinin İzlenerek Güvenlik Sorunlarına Müdahale Edilmesi QoS izlenimiQoS izlenimi Her noktada ağı yaşanabilecek saldırılardan korumakHer noktada ağı yaşanabilecek saldırılardan korumak Karşılanması gereken gereksinimler:Karşılanması gereken gereksinimler: Işık yolları boyunca başarım kaybının hızlı ve doğru tespitiIşık yolları boyunca başarım kaybının hızlı ve doğru tespiti Servis engelleme ve QoS kaybının yerinin kolayca belirlenmesi.Servis engelleme ve QoS kaybının yerinin kolayca belirlenmesi. Kaynağın tanınması ve tanımlanması ile ağdaki servis engellenmesinin özünün görüntülenmesi.Kaynağın tanınması ve tanımlanması ile ağdaki servis engellenmesinin özünün görüntülenmesi.

46 Servis Kalitesinin İzlenerek Güvenlik Sorunlarına Müdahale Edilmesi Bundan sonra izlenecek adımlarBundan sonra izlenecek adımlar Öncelikle, QoSG yöntemi ile ağ yönetim sistemi arasında bir işevsel ilişki oluşturulması yaklaşımlarının tasarımı sorgulanmalıÖncelikle, QoSG yöntemi ile ağ yönetim sistemi arasında bir işevsel ilişki oluşturulması yaklaşımlarının tasarımı sorgulanmalı GMPLS’in adaptasyonuGMPLS’in adaptasyonu Optik düğümler aarasında birtakım ek denetim bilgisinin saçılmasını sağlamak amacıyla yol atama ve işaretleşme protokollerine birtakım eklemeler de gerekebilirOptik düğümler aarasında birtakım ek denetim bilgisinin saçılmasını sağlamak amacıyla yol atama ve işaretleşme protokollerine birtakım eklemeler de gerekebilir BER düşüşünün tespit edilmesi ve yerinin belirlenmesinden sonra gösterilecek en uygun tepkiye karar verilmesiBER düşüşünün tespit edilmesi ve yerinin belirlenmesinden sonra gösterilecek en uygun tepkiye karar verilmesi

47 Sonuçlar Tam optik ağların yapıları gereği fiziksel güvenlik sorunlarına açıktır. Tam optik ağların yapıları gereği fiziksel güvenlik sorunlarına açıktır. –Servisin Reddi –Tıkama Saldırıları Optik ağların saydam geçiş özelliği çapraz karışma, doğal güçlendirilmiş emisyon gürültüsü, kazanç rekabeti gibi sorunları da beraberinde getirmektedir. Optik ağların saydam geçiş özelliği çapraz karışma, doğal güçlendirilmiş emisyon gürültüsü, kazanç rekabeti gibi sorunları da beraberinde getirmektedir. Bu sorunların her biri bir güvenlik saldırısı aracı olarak kullanılabilir Bu sorunların her biri bir güvenlik saldırısı aracı olarak kullanılabilir Tam optik ağlara birtakım geleneksel teknikler uygulanabilir Tam optik ağlara birtakım geleneksel teknikler uygulanabilir –karşı önlemler alınırken, tam optik ağların fiziksel yapıları ve mimarilerinin göz önüne alınarak sorunların düşünülmesi gerekmektedir. Servis engelleme de bir diğer önemli saldırı olabilmektedir Servis engelleme de bir diğer önemli saldırı olabilmektedir –Daha önceki çalışmalarda bağdan bağa başarımı test eden bir metod önerilmiştir, ancak hala gereksinimleri karşılanmamıştır. Bir ağ yönetim sisteminin de garantili, etkin ve sürekli haberleşme sağlanmasındaki önemi göz önünde bulundurulmalıdır. Bir ağ yönetim sisteminin de garantili, etkin ve sürekli haberleşme sağlanmasındaki önemi göz önünde bulundurulmalıdır.

48 Kaynaklar [1] R. Ramaswami, K. N. Sivarajan, “Optical Networks: A Practical Perspective”, Morgan Kaufmann, 2nd Ed, [1] R. Ramaswami, K. N. Sivarajan, “Optical Networks: A Practical Perspective”, Morgan Kaufmann, 2nd Ed, [2] P. E. Green, Jr, “Fiber Optic Networks”, Prentice Hall, 1993 [2] P. E. Green, Jr, “Fiber Optic Networks”, Prentice Hall, 1993 [3] M. Melard, D. Marquis, R. A. Barry, S. G. Finn, “Security issues in all optical networks”, IEEE Network, vol. 11, issue 3, May-June 1997, pp [3] M. Melard, D. Marquis, R. A. Barry, S. G. Finn, “Security issues in all optical networks”, IEEE Network, vol. 11, issue 3, May-June 1997, pp [4] R. Rejeb, I. Pavlosoglou, M. S. Leeson, R. J. Green, “Securing all optical networks”, Transparent Optical Networks, Proceedings of th International Conference on, vol 1, 29 June-3 July 2003 pp [4] R. Rejeb, I. Pavlosoglou, M. S. Leeson, R. J. Green, “Securing all optical networks”, Transparent Optical Networks, Proceedings of th International Conference on, vol 1, 29 June-3 July 2003 pp [5] M. Machuca, I. Tomkos, “Failure detection for secure optical networks”, Transparent Optical Networks, Proceedings of th International Conference on, vol 1, 29 June-3 July 2003 Page(s): vol.1 [5] M. Machuca, I. Tomkos, “Failure detection for secure optical networks”, Transparent Optical Networks, Proceedings of th International Conference on, vol 1, 29 June-3 July 2003 Page(s): vol.1

49 Teşekkürler…


"Bilgisayar Ağlarında Güvenlik Optik Ağların Güvenliği Burak KANTARCI." indir ppt

Benzer bir sunumlar


Google Reklamları