OPTİK AĞLARIN GÜVENLİĞİ F. ESİN AKIN 1306030081
Optik Ağların Güvenliği Giriş Tam Optik Ağlar Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Optik Ağların Karşılaşabileceği Saldırılar Servis Engelleme Saldırıları Tıkama Saldırıları Saldırılara Karşı güvenlik Önlemleri Önüne Geçme Belirleme Tepki Servis Kalitesinin İzlenerek Güvenlik Sorunlarına Müdahale Edilmesi Sonuçlar
Giriş Yüksek bandgenişliği gereksinimi verilerin optik ortam üzerinden yüksek hızlarda taşınması gündeme gelmiştir. Pratikte 100Gbps düzeyinde iletim hızında hizmet verebilen tam optik ağların Tbs (terabit / s) düzeyinde iletime olanak verebildiği laboratuvar ortamında gösterilmiştir. Tam optik ağların sunduğu en önemli kazanımlardan biri, veri transferine saydamlık kazandırmasıdır. Tam optik haberleşmenin çok yüksek hızlarda gerçeklendiği bilindiğinden, optik ağların güvenliği konusundaki çalışmalar çok yeni ve daha kısıtlıdır.
Giriş Optik ağlarda güvenlik temel olarak 2 ana başlıkta toplanmaktadır: Fiziksel ortam güvenliği Bilginin bütünlüğü ve gizliliği Anlamsal güvenlik. saldıranın iletim kanalına erişimi durumunda bilginin korunması
Tam Optik Ağlar Tam Optik Ağlar 2 ana kategoride toplanırlar TDM (zaman bölmeli çoğullama) kipinde hizmet veren optik ağlar WDM (dalgaboyu bölmeli çoğullama) kipinde hizmet veren optik ağlar En yaygın kullanılan çoğullama yöntemi Dalgaboyu bölümlemeli çoğullama (WDM) Veri iletimi dalgaboyu kanalları üzerinden, dalgaboyu/frekans seçici anahtarlar (WSS) aracılığıyla gerçeklenir. İki uç arasında haberleşmenin başlaması için bir sanal devre kurulurken, sözkonusu bağlantıya bir dalgaboyu atanır ve haberleşme bu bant üzerinden gerçeklenir.
Tam Optik Ağlar Optik ağların kimi özelliklerinin doğurabileceği güvenlik sorunları saldıranın trafiği analiz etmesi servis kalitesini düşürmesi iletim kanalını dinlemesi servisin reddini gerçeklemesine olanak tanıması Yüksek hız ve kapasitede iletişimin ortaya çıkardığı iki sonuç: Saldırılar, kısa süreli ve seyrek dahi olsa, saldırıya maruz kalan verinin miktarı çok büyüktür. Uç kullanıcıların haberleşme protokolleri, daha yavaş ve elektronik ortamlar için tasarlanmış protokoller olabilir Örnek: TCP/IP gibi bir protokol grubu, uzun measfelerde ve yüksek hızlarda, servisin reddi saldırılarına açıktır.
Tam Optik Ağlar Gönderilen işaretler elektronik tabanlı veya elektro-optik ağlarda olduğu gibi ara düğümlerde yeniden oluşturulmazlar Saydam geçiş Kimi ara düğümlerde optik kuvvetlendiriciler (OA) bulunur. Verilerin ağ üzerinde saydam geçişi birtakım güvenlik sorunları yaratabilmektedir.
Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Güvenlik Sorununa Neden Olabilecek Durumlar WSS ve tam optik kuvvetlendiriciler tarafından sağlanan saydam geçiş olanağı, halen üzerinde çalışılan birtakım güvenlik açıklarına neden olabilecek durumlar da doğurabilmektedir. Çapraz karışma Kuvvetlendirilmiş doğal emisyon gürültüsü Kazanç rekabeti
Güvenlik Sorununa Neden Olabilecek Durumlar Çapraz Karışma (CrossTalk) Tam optik ağ elemanları, aynı işlevleri gören elektronik veya opto-elektronik elemanlarla karşılaştırıldığında daha az sağlam ve dayanıklıdırlar. WDM dalgaboyu kanalları arasında oluşabilecek yüksek derecede çapraz karışma ciddi bir güvenlik problemi doğurabilmektedir. Saldıran; uçlar arasındaki haberleşmeyi tıkamak veya hizmet kalitesini düşürmek amacıyla, ağ içerisine çeşitli optik işaretler göndermek yoluyla çapraz karışmayı kullanılabilir Çapraz karışmanın en önemli zararlarından biri: Toplanabilirlik Ağ içindeki hasar, tek bir düğümdeki hasardan daha büyük olabilir
Güvenlik Sorununa Neden Olabilecek Durumlar Kuvvetlendirilmiş Doğal Emisyon Gürültüsü (ASE Noise) Enerji düzeyinden oluşan atomik yapıları düşünürsek, enerji düzeyleri arasında hareket eden atomlar hf0 enerjisine sahip fotonlar yayarlar. Yayılan foronlar, optik işaret olarak aynı enerjiye sahip olmalarına karşın, saçılma yönleri ve polarizasyonları farklıdır. Kuvvetlendiriciler, doğal emisyon ışımasını hf0 frekansında bir diğer magnetik alan olarak değerlendirir ve dolayısıyla optik işarete ek olarak doğal emisyonda kuvvetlendirilir. Kuvvetlendiricilerin çıkışında bu durum gürültü olarak açığa çıkar
Güvenlik Sorununa Neden Olabilecek Durumlar Kazanç Rekabeti (Gain Competition) Optik lif içindeki WDM kanalları, uyarılmış serbest fotonlardan oluşan sınırlı bir foton havuzunu paylaşırlar. EDFA’nın çıkışında kazanımı daha yüksek olan dalgaboyları, daha düşük kazanımlı dalgaboylarında taşınan fotonları çalarak daha kuvvetli bir işaret üretmeleri mümkün olabilmektedir.
Optik Ağların Karşılaşabileceği Saldırılar Tam optik bir ağa gerçekleştirilebilecek saldırılar 3 ana grupta toplanabilir: Trafik analizi ve dinleme Servisin reddi QoS düşürülmesi Servisin reddi ve QoS düşürülmesi saldırıları, saldırılar ve işaret zayıflamasının gerçekleşebileceği tüm düğümlerde belirlenip tanımlanabilmelidir. Yüksek veri hızı, kısa sürede çok fazla verinin tehlikeye düşmesine de neden olmaktadır Verilerin hedeflerine ulaşmasındaki gecikmeler, büyük miktarda verilerin, iletimin herhangi bir anında kaybolması olarak değerlendirilir.
Optik Ağların Karşılaşabileceği Saldırılar Servis Engelleme Saldırıları: (Optik Liflerde) Optik liflerde, ışık farklı dalgaboyları üzerinden, sadece frekansa bağlı yayınım gecikmesi (dispersiyon) ve sönüm ile iletilir. Saldıranın korunmasız optik life fiziksel erişimi durumunda güvenlik oldukça düşüktür. Kayıplar artabilir. Daha az zarar verici bir saldırı: optik lif içerisinde taşınan ışığa müdahale etmek ışığın lif içinde dağılmasını veya lif dışına yönelmesini sağlamak
Optik Ağların Karşılaşabileceği Saldırılar Servis Engelleme Saldırıları: (Optik Liflerde) Bir dalgaboyu üzerinden kurulan bağlantı, kolaylıkla o dalgaboyu üzerine ışık vererek engellenebilir. Optik ağ içinde yerinin tespit edilmesi oldukça zordur. Yüksek giriş gücü ve uzun mesafelerde Optik liflerin lineer davranışı bozulur Farklı dalgaboylarındaki işaretlerin birbirlerini kuvvetlendirmesi / söndürmesi sorunu (Çapraz karışma)
Optik Ağların Karşılaşabileceği Saldırılar Servis Engelleme Saldırıları: (EDFA’ larda) EDFA: girişe gelen optik işareti kuvvetlendirerek olduğu gibi çıkışa yöneltir optik işaretin gücü kabul edilebilir bir düzeye çekilir Daha güçlü bir kullanıcı olan saldıran, daha zayıf bir kullanıcının fotonlarını çalabilir, böylece sözkonusu kullanıcının kazancını da düşürmüş olur. Optik liflerde kayıp oranı çok düşük EDFA’lar uzak mesafelerden gelen işaret bastırma saldırıları (jamming) karşısında güçsüz. İşaret Bastırma saldırısının şiddeti: EDFA konfigürasyonuna Saldıranın EDFA’ya uzaklığına Ağ mimarisine bağlıdır. Kimi Saldırı anlarında hedefe kaynak tarafından verilen hizmeti saldıranın reddetmesi olasıdır.
Optik Ağların Karşılaşabileceği Saldırılar Servis Engelleme Saldırıları: (WSS’lerde) WSS: farklı dalgaboyları üzerinden taşınan optik işaretleri çıkışa yönlendirir WSS’nin iki önemli elemanı: Dalgaboyu ayrıştırıcı (DEMUX) Dalgaboyu Çoğullayıcı (MUX) WSS’lerin anlamlı çapraz karışma düzeyleri vardır Bu çapraz karışma düzeyi kullanılarak bir engelleme veya hizmet reddi saldırısı düzenlenmesi olasıdır.
Optik Ağların Karşılaşabileceği Saldırılar Tıkama Saldırıları (Tapping) (Optik Lifler ve EDFA’lar üzerinde) Optik life fiziksel erişimle lifin biçimi değiştirilerek işaret bozulabilir veya bir kısmı elde edilebilir. Optik lifler, kuvvetlendiricilerin çıkışlarında yüksek çıkış güçlü işaretler taşırlar Belirli bir çapraz karışma düzeyi de sergiler Optik lif üzerinde taşınan işaretin yayınımını güçlendirerek tıkama olanağı sağlar. Bazı EDFA’larda kazanım rekabeti çok hızlı görülür.
Optik Ağların Karşılaşabileceği Saldırılar Tıkama Saldırıları (Optik Lifler ve EDFA’lar üzerinde) Tıkama Saldırısı + İşaret Bastırma Saldırısı Servis reddi etkinliğini arttırır Optik ağda gecikmeler << veri iletim hızı Saldıran öncelikli olarak bir işareti tıkayıp, aynı noktadan yeni bir işaret gönderebilir. Kurbanın çıkış işaret gücü düşükse bu saldırı daha etkindir. İşaretin ele geçen kısmı çıkartılıp, hedefe gürültü gönderilir. Çok sayıda gecikme de eklenebilirse, hedefe farklı yollar üzerinden ulaştığı izlenimini uyandırır. Şekil 5- Bağlantılı Tıkama (correlated tapping)
Optik Ağlarda Güvenlik Konusundaki Zayıflıklar Saldırılara Karşı Güvenlik Önlemleri Güvenlik şemasının 3 bileşeni Önüne geçme Belirleme Tepki
Saldırılara Karşı Güvenlik Önlemleri Önüne geçme: (Prevention) Önüne geçme metodlarını 3 ana başlıkta toplayabiliriz: Güvenlik açıklarını donanıma bağlı azaltanlar Band sınırlayıcı filtreler, belirli bandgenişliğinin dışındaki işaretlerin geçmesini engellemektedir böylece kazanım rekabeti saldırısının önüne geçmek için kullanılabilir. optik liflerin dış ortamdan korunması, böylece dışarıdan ışık veya bir başka fiziksel yolla müdahale edilmesi engellenebilir. 2. Belirli saldırılara karşı geliştirilen iletim şemaları Tıkama ve işaret bastırma önlemlerinde önemli bir rol oynar Belirli saldırılara karşı geliştirilen modulasyonlar İşaret bastırmaya karşı koruma olarak geliştirilen kodlama İşaretleri akıllıca belirli bandgenişliği ve SNR değerlerinde tutma Bazı fark mekanizmaları kullanarak saldırıları daha zor kılmak. Tam optik ağlarda protokol ve mimari yapıların tasarımı Kullanıcıların ayrıştırılması Yol ve dalgaboyu seçiminde esneklik
Saldırılara Karşı Güvenlik Önlemleri Belirleme (Detection) 3 fonksiyon Olay tanıma Güvenlik hatası tanımlama Uyarı yaratma (alarm generation) Açık saldırılar için belirleme, daha kolay: Örnek: optik lifin herhangi bir yerde hasar görmüş olması, alınması gereken bir denetim işaretinin durması halinde belirlenebilir Gizli saldırıları belirlemek daha zor Oldukça küçük girişimler BER’de göreli büyük artışlara neden olabilir. Çözüm: Farklı fiziksel yoları izlemiş iki bit dizisini karşılaştırmak. Artık bit dizileri kullanımı (Verilecek tepkide yararlı olabilir)
Saldırılara Karşı Güvenlik Önlemleri Belirleme (Detection) Alarm yaratma: Hata kotarma mekanizmalarından sorumlu elemanlar hızlı bir biçimde uyarılmalıdır. Ağdaki diğer düğümler de adaptif olarak önceden planlanmış yanıtlarını değiştirmeleri için uyarılmalıdırlar Optik ağın uç düğümlerine verinin bozulmuş olabileceğini bildiren bir işaret gönderilebilir.
Saldırılara Karşı Güvenlik Önlemleri Tepki (Reaction) Saldırının kaynağını, yeni saldırılar düzenlemesini engellemek için dışlama Bileşenlerin yeniden ayarlanması Yeniden yönlendirmelerin yapılması Ağın güvenlik durumu veritabanının güncellenmesi.
Saldırılara Karşı Güvenlik Önlemleri Tepki (Reaction) Zamanında hata kotarmayı garantilemek için, gerçek zamanlı yazılım çözümlerine bağlı gecikmeleri engellemek amacıyla, önceden planlı yanıtların uygulamaya konması tercih edilmelidir. Basit bir önceden planlı yanıt, güvenlik tehditi olarak görülen bir kullanıcının dışlanması olabilir. Bir diğer yaklaşım ise, önceden planlanmış yolları tehlikeye düşmüş ağ kesitlerinde oluşturmaktır Bir diğer yaklaşım ise, önceden planlanmış yolları tehlikeye düşmüş ağ kesitlerinde oluşturmaktır Bir düğümün veya lifin belirli bir kesitinin saldırıya maruz kaldığına karar verilirse, otomatik koruma anahtarlaması (APS) yoluyla yedek yol üzerinden iletime geçilebilir.
Servis Kalitesinin İzlenerek Güvenlik Sorunlarına Müdahale Edilmesi Dinamik dalgaboyu yönlendirme kullanarak bir ışık yolu boyunca taşınan işaretin servis kalitesini görüntülemek için bağ-bağ bütünlük testi. Gereksinim duyulan ön veriler: güç düzeyleri kuvvetlendirici kazanç istatistikleri çapraz karışma ASE bileşenleri Işık yollarının denetim ve yönetimi: Genelleştirilmiş Çok Protokollü Etiket Anahtarlama (GMPLS ) seçilen yol üzerinde ışık yolu oluşturulması bağlantıya bir dalgaboyu atanması ağdaki optik anahtarların ayarlanması her bir bağ üzerinde hangi dalgaboylarının kullanıldığının güncellemesinin yapılması
Servis Kalitesinin İzlenerek Güvenlik Sorunlarına Müdahale Edilmesi Işık yolu kurulumu aşamasında performansa bağlı parametrelerin düğümler arasında değiş tokuşu. Işık yolu Kaynak-Hedef arasında çok sayıda noktadan noktaya iletim bağından oluşan uçtan uca bir bağlantıdır. VN’lerin giriş ve/veya çıkış iskelelerinde BER belirleme, kısmen bir VLP ve tabii ki bütün ışık yolu üzerinde iletilen işaretlerin kalitesinin değerlendirilmesinde kullanılabilir. Böylece, QoS düşmesi ve buna neden olan saldırıların ve yerlerinin hızlıca belirlenmesi sağlanır.
Servis Kalitesinin İzlenerek Güvenlik Sorunlarına Müdahale Edilmesi QoS izlenimi Her noktada ağı yaşanabilecek saldırılardan korumak Karşılanması gereken gereksinimler: Işık yolları boyunca başarım kaybının hızlı ve doğru tespiti Servis engelleme ve QoS kaybının yerinin kolayca belirlenmesi. Kaynağın tanınması ve tanımlanması ile ağdaki servis engellenmesinin özünün görüntülenmesi.
Sonuçlar Tam optik ağların yapıları gereği fiziksel güvenlik sorunlarına açıktır. Servisin Reddi Tıkama Saldırıları Optik ağların saydam geçiş özelliği çapraz karışma, doğal güçlendirilmiş emisyon gürültüsü, kazanç rekabeti gibi sorunları da beraberinde getirmektedir. Bu sorunların her biri bir güvenlik saldırısı aracı olarak kullanılabilir Tam optik ağlara birtakım geleneksel teknikler uygulanabilir karşı önlemler alınırken, tam optik ağların fiziksel yapıları ve mimarilerinin göz önüne alınarak sorunların düşünülmesi gerekmektedir. Servis engelleme de bir diğer önemli saldırı olabilmektedir Daha önceki çalışmalarda bağdan bağa başarımı test eden bir metod önerilmiştir, ancak hala gereksinimleri karşılanmamıştır. Bir ağ yönetim sisteminin de garantili, etkin ve sürekli haberleşme sağlanmasındaki önemi göz önünde bulundurulmalıdır.