Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik / Security Makaleleri
  Aktif Konular Aktif Konular RSS - Optik Ağların Güvenliği !
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

Optik Ağların Güvenliği !

 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
megabros Açılır Kutu Gör
Security Professional
Security Professional
Simge

Kayıt Tarihi: 08-06-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 752
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı megabros Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: Optik Ağların Güvenliği !
    Gönderim Zamanı: 08-06-2009 Saat 13:54

OPTİK AĞLARIN GÜVENLİĞİ

1. GİRİŞ

Son yıllarda Internet omurgası üzerinde, yüksek bandgenişliği gereksiniminin artmasıyla birlikte, verilerin optik ortam üzerinden yüksek hızlarda taşınması gündeme gelmiştir. Pratikte 100Gbps düzeyinde iletim hızında hizmet verebilen tam optik ağların Tbs (terabit / s) düzeyinde iletime olanak verebildiği laboratuvar ortamında gösterilmiştir. Tam optik ağların sunduğu en önemli kazanımlardan biri, gönderilen sinyallerin ağ içinde yeniden yaratılması sorununu ortadan kaldırması ve veri transferine saydamlık kazandırmasıdır.
Tam optik haberleşmenin çok yüksek hızlarda gerçeklendiği bilindiğinden, optik ağların güvenliği konusundaki çalışmalar çok yeni ve daha kısıtlıdır. Optik ağlarda güvenlik temel olarak 2 ana başlıkta toplanmaktadır: Fiziksel ortam güvenliği ve anlamsal güvenlik. Fiziksel güvenlik, bilginin bütünlüğü ve gizliliği üzerinde odaklanırken, anlamsal güvenlik, saldıranın iletim kanalına erişimi durumunda bilginin korunması üzerine odaklanır.

2. TAM OPTİK AĞLAR

Tam optik ağlar zaman bölmeli çoğullama (TDM) kipinde hizmet veren ağlar ve dalgaboyu bölümlemeli çoğullama (WDM) kipinde hizmet veren ağlar olmak üzere iki ana kategoride toplanabilirler. Ancak en yaygın kullanılan çoğullama yöntemi WDM olarak kabul edilmektedir. WDM ağlar, bir optik lifin bandgenişliğini, her biri 10Gbps kapasiteye sahip çok sayıda dalgaboyu kanalına böler. Veri iletimi bu dalgaboyu kanalları üzerinden dalgaboyu / frekans seçici anahtarlar (WSS) aracılığıyla gerçeklenir.

İki uç arasında haberleşmenin başlaması için bir sanal devre kurulurken, sözkonusu bağlantıya bir dalgaboyu atanır ve haberleşme bu bant üzerinden gerçeklenir. Şekil-1’de görüldüğü gibi sol üstteki kullanıcı 8 dalgaboyu kanalını farklı uçlarla kurduğu bağlantılar için kullanmaktadır. Bir bağlantı için, yol üzerinde birden fazla dalgaboyu da kullanılabilir. Bunun için bağlantıya atanan yol üzerindeki sekmelerde bir dalgaboyundan diğerine geçişi sağlayacak dalgaboyu dönüştürücüler olmalıdır, ancak gerek problemi basit tutmak açısından gerek dalgaboyu dönüştürücülerinin maliyetinin yüksek olmasından dolayı bu raporda dalgaboyu dönüştürme işlemine değinilmemektedir.


Optik ağların kimi özellikleri, saldıranın trafiği analiz etmesi, servis kalitesini düşürmesi, iletim kanalını dinlemesi veya servisin reddini gerçeklemesine olanak tanıyacak niteliktedir. Yüksek hız ve kapasitede iletişim, güvenlikle ilgili iki sonuç ortaya çıkartır: 1) Saldırılar, kısa süreli ve seyrek dahi olsa, saldırıya maruz kalan verinin miktarı çok büyüktür. 2) Uç kullanıcıların haberleşme protokolleri, daha yavaş ve elektronik ortamlar için tasarlanmış protokoller olabilir. Örneğin TCP / IP gibi bir protokol grubu, planlandığı ortam için iyi performansla çalışsa da, uzun mesaferde yüksek debili haberleşme ortamlarında servisin reddi saldırılarına çok açıktırlar.
Optik ağlarda gönderilen işaretler, saydam geçişi sağlamak için, elektronik tabanlı veya elektro-optik ağlarda olduğu gibi ara düğümlerde yeniden oluşturulmazlar, ancak kimi düğümlerde optik kuvvetlendiriciler bulunur. Verilerin ağ üzerinde saydam geçişi birtakım güvenlik sorunlarına da neden olabilmektedir.

3. OPTİK AĞLARDA GÜVENLİK KONUSUNDAKİ ZAYIFLIKLAR

3.1 Optik Ağlarda Oluşabilecek Güvenlik Sorununa Neden Olabilecek Durumlar

Tam optik ağlar, yüksek veri hızlı ve genişbandlı uygulamalar sunmaktadırlar. Optik ağların en önemli özelliği, önceki bölümde de belirtildiği gibi yönlendirme ve anahtarlamada, işaretlerin ağ içerisinde yeniden oluşturulmasına gerek kalmaksızın tam saydam bir iletim sağlamalarıdır. WSS ve tam optik kuvvetlendiriciler tarafından sağlanan bu saydam geçiş olanağı, halen üzerinde çalışılan birtakım güvenlik açıklarına neden olabilecek durumlar da doğurabilmektedir. Bu durumları 3 ana başlıkta toplayabiliriz:
-Çapraz karışma
-Kuvvetlendirilmiş doğal emisyon gürültüsü
-Kazanç rekabeti

3.1.1. Çapraz Karışma (Crosstalk)

Tam optik ağ elemanları, aynı işlevleri gören elektronik veya opto-elektronik elemanlarla karşılaştırıldığında daha az sağlam ve dayanıklıdırlar. Buna bağlı olarak, WDM dalgaboyu kanalları arasında oluşabilecek yüksek derecede çapraz karışma ciddi bir güvenlik problemi olarak önümüze çıkmaktadır. Saldıranlar tarafından, çapraz karışma, uçlar arasındaki haberleşmeyi tıkamak veya hizmet kalitesini düşürmek amacıyla, ağ içerisine çeşitli optik işaretler göndermek yoluyla kullanılabilir.
Çapraz karışmanın en önemli zararlarından biri de toplanabilir niteliğidir. Bundan dolayı, optik ağ içinde yayılan birleşik bir çapraz karışma tek bir düğümdeki etkisinden daha zarar verici olabilir.

3.1.2. Kuvvetlendirilmiş doğal emisyon gürültüsü (ASE Noise)

İki enerji düzeyinden oluşan bir atomik sistem düşünelim. Yüksek enerji düzeyi E2’den E1’e inen atomlar hfc enerjisine sahip foton yayarlar. E2’den E1’e doğan emisyon oranı bir sistem karakteristiği olarak düşünülüp, τ21 parametresi de doğal emisyon süresini gösterir. Yani, E2 düzeyinde N2 atom bulunuyorsa, doğal emisyon oranı N2 / τ21 olur. Bu durumda doğal emisyon gücü de hfcN2 / τ21 olacaktır. Yayılan fotonlar, optik işaret olarak aynı enerjiye sahip olmalarına karşın, saçılma yönleri ve polarizasyonları farklıdır.


Kuvvetlendiriciler, doğal emisyon ışımasını hfc frekansında bir diğer magnetik alan olarak değerlendirir, ve dolayısıyla, optik işarete ek olarak, doğal emisyon da kuvvetlendirilir. Kuvvetlendiricilerin çıkışında, bu durum gürültü olarak açığa çıkar. Sonraki bölümlerde, optik ağların ASE gürültüsü ile nasıl saldırı hedefi olabileceği açıklanmaktadır.

3.1.3. Kazanç Rekabeti

Optik lif içindeki çok sayıda bağımsız WDM dalgaboyu kanalı, uyarılmış serbest fotonlardan oluşan sınırlı bir foton havuzunu paylaşırlar. Bu durum da EDFA’nın çıkışında kazanımı daha yüksek olan dalgaboyları, daha düşük kazanımlı dalgaboylarında taşınan fotonları çalarak daha kuvvetli bir işaret üretmeleri mümkün olabilmektedir. Şekil 3’te farklı dalgaboylarının, farklı kuvvetlendirici güçleri altında kazanımları için bir örnek görünmektedir.

3.2 Optik Ağların Karşılaşabileceği Saldırılar

Tam optik bir ağa gerçekleştirilebilecek saldırılar 3 ana grupta toplanabilir:

-Trafik analizi ve dinleme: Araya giren, ağdaki haberleşmeyi dinler veya ağ üzerinden geçen trafiği analiz ederek birtakım sonuçlara ulaşmaya çalışır.
-Servisin reddi: Optik işaret, araya giren tarafından bir şekilde bozulur.
-QoS düşürülmesi: Saldıran, rastgele ve kuvvetli optik işaretler göndererek, alıcıya iletilmek isteyen işareti ezer.
Servisin reddi ve QoS düşürülmesi saldırıları, saldırılar ve işaret zayıflamasının gerçekleşebileceği tüm düğümlerde belirlenip tanımlanabilmelidir. Yüksek veri hızı, kısa sürede çok fazla verinin tehlikeye düşmesine de neden olmaktadır. Verilerin hedeflerine ulaşmasındaki gecikmeler, büyük miktarda verilerin, iletimin herhangi bir anında kaybolması olarak değerlendirilir. Herhangi bir anda, hata olarak tespit edilen bir saldırı, çok hızlı bir şekilde ağdaki düğümlere yayılır. Eğer saldırılar tüm düğümlerde belirlenmemişse, ağ yönetim sistemi (NMS) tarafından, uygun olmayan işlemler gerçekleştirilebilir. Bu nedenlerden dolayı, düğümlerde, saldırıların sınanması sıklığı veri iletim hızının bir fonksiyonu olmalıdır.
Bu bölümde, optik ağlara gerçekleşebilecek saldırılara belirli örnekler vererek 3 temel optik ağ bileşeni olan optik lifler, optik kuvvetlendiriciler ve WSS’ler açısından değerlendireceğiz.

3.2.1. Servis Engelleme Saldırıları

Optik lifler, idealde ışığı farklı dalgaboyları üzerinden, sadece frekansa bağlı yayınım gecikmesi (dispersiyon) ve sönüm ile yayarak iletirler. Optik liflerin kaybı ortalama 0.2 dB/km olacak şekilde çok düşük ve normal şartlar altında lineer davranıştadır. Normal çalışma şartları altında, optik liften çok düşük miktarda güç ışıması görülür. Bu, veri taşınan diğer ortamlara göre oldukça iyi bir başarım sayılabilir. Ancak, tıpkı koaksiyel kabloda olduğu gibi, korunmasız optik life saldıranın fiziksel erişimi durumunda güvenliği oldukça düşüktür. Alıcıya optik lif üzerinden sağlanan servis, optik lifin kesilmesi veya optik life herhangi bir şekilde zarar verilmesi durumunda engellenebilir. Daha az engelleyici bir fiziksel saldırı ise, optik lif içerisinde taşınan ışığa müdahale etmek ve böylece ışığın lif içinde dağılmasını veya lif dışına yönelmesini sağlamak olacaktır. Böylelikle, bir dalgaboyu üzerinden kurulan bağlantı, kolaylıkla o dalgaboyu üzerine ışık vererek engellenebilir. Optik ağ içinde böylesi bir saldırının yerinin tespiti ise oldukça zordur.
Yüksek giriş gücü ve uzun mesafelerde, optik liflerin lineer davranışının bozulmasıyla birlikte, farklı dalgaboyları üzerindeki işaretlerin birbirini etkilemesi (güçlendirme veya söndürme yoluyla) karışması sorunuyla karşılaşılabilir. Çapraz karışma adını verdiğimiz bu etki, ağa saldırıda bulunan tarafından da kolaylıkla kullanılabilir.


Optik kuvvetlendirici’ler (EDFA), önceki bölümlerde anlatıldığı gibi, girişe gelen optik işareti kuvvetlendirerek olduğu gibi çıkışa yöneltir ve böylece optik işaretin gücünü kabul edilebilir bir düzeye çeker. Kuvvetlendiricilerin bu özelliği, çıkışlarında 3.1.3’te anlatılan kazanç rekabeti sorununu gündeme getirir. Bunun sonucu olarak da daha güçlü bir kullanıcı olan saldıran, daha zayıf bir kullanıcının fotonlarını çalabilir, böylece sözkonusu kullanıcının kazancını da düşürmüş olur. Kazanç rekabeti sorunu, optik liflerin kayıp oranının çok düşük olduğu göz önünde bulundurulduğunda, EDFA’ların uzak noktalardan gelen güç bastırımı saldırılarından çok kolay etkilenebildiklerini göstermektedir. Böyle bir saldırının şiddeti, saldıranın optik kuvvetlendiriciye olan uzaklığına, optik kuvvetlendiricinin konfigürasyonuna, ve ağın mimarisine de yakından bağlıdır. Kimi saldırı anlarında, saldıranın, hedef düğüme kaynak tarafından verilen hizmeti reddetmesi olasıdır.

Dalgaboyu seçici anahtarlar (WSS), farklı dalgaboyları üzerinden taşınan optik işaretleri çıkışa yönlendirirler. Dalgaboyu ayrıştırıcı ve çoğullayıcılar WSS’lerin iki önemli elemanıdır. Şekil 2’de görülen bir WSS’dir. Girişlerdeki ayrıştırıcıların her biri, belirli bir dalgaboyu üzerinden taşınan tüm işaretleri, iki anahtarlama düzleminden birine gönderir. Anahtarlama düzleminde çıkış iskelelerine iletilen, işaretler, çıkıştaki lif üzerinde çoğullanır. WSS içindeki kayıpları azaltmak için, anahtar girişi ve/veya çıkışında optik kuvvetlendirici kullanılabilir.

WSS’lerin anlamlı çapraz karışma düzeyleri vardır. Çapraz karışma düzeyi WSS’nin yapısına ve içindeki elemanlara bağlıdır. Şekil 2’deki WSS içinde, kullanıcı 1’den gelen işaret alt taraftaki çıkış iskelesine yönlendirilmesi gerekmektedir, oysa kullanıcı 2’nin yönlendirildiği iskeleye yönlendirilerek iki işaretin girişimine neden olmaktadır. Şu anki WSS’lerin çapraz karışma düzeyleri -20 dB ile -30 dB arasında değişmektedir.
Bu çapraz karışma düzeyinin kullanılarak bir engelleme veya hizmet reddi saldırısının gerçekleşmesi olasıdır. Servis reddi için, saldıran, yeterince güçlü bir işareti fiber üzerinden geçirirse, WSS’de anahtarlama düzlemlerinin çıkışında, belirli bir oranının reddedilmek istenen hizmeti taşıyan işaret üzerine kırılması ve o iki uç arasındaki iletişimin engellenmesi mümkündür. Bir diğer saldırı örneği ise bir açık / kapalı anahtarlı işareti, alıcının uyum sağlayamayacağı bir hızda (bps) ve alıcıda filtrelenmeyecek kadar da yavaş üreterek göndermektir. Şekil 2’deki kullanıcı 1, WSS’deki EDFA’yı tıkamak için, WSS’ye bir bastırıcı işaret gönderir, sonuç olarak da sözkonusu EDFA ile kuvvetlendirilecek olan tüm diğer işaretleri bastırmış olur. Bir kuvvetlendiriciyi tıkama yoluyla düzenlenen saldırı, kimi zaman sözkonusu düğüme giren bir fibere fiziksel yollarla erişimle düğümü çökertebilir.

Görüldüğü gibi, elektro-optik ağlardaki işaretin yeniden yaratılması, bu tip saldırıların önüne geçebilecekken, tam optik ağlarda, saldırıda bulunan, WSS’lerde bir dalgaboyundan diğerine sıçrayarak veya çok sayıda dalgaboyu taşıyan ışığı optik life göndererek “başarılı” bir saldırıda bulunabilir.

3.2.2. Tıkama Saldırıları

Tıkama saldırılarını öncelikle optik lifler ve kuvvetlendiriciler üzerinde düşünelim. Optik life fiziksel erişim imkanı olan bir kullanıcı, fiberin biçimini değiştirerek bir işaretin belirli bir bölümünü elde edebilir. Ayrıca, optik lifler, özellikle kuvvetlendiricilerin çıkışlarında yüksek çıkış güçlü işaretler taşıdıkları için belirli bir çapraz karışma düzeyi de sergiler, bu da optik lif üzerinde taşınan işaretin yayınımını güçlendirerek tıkama olanağı sağlar.
Bazı optik kuvvetlendiricilerde, işaretler arasındaki kazanım rekabeti çok hızlı görünür. Bu tip durumlarda tıkama saldırısı, çapraz-modülasyon etkileri gözlenerek gerçekleştirilebilir.
Servis engellemesi saldırısının etkinliğinin arttırılması için tıkama saldırısı işaret bastırma saldırısı ile birlikte düşünülebilir. Tam optik ağlarda, gecikmeler, veri iletim hızına oranla çok daha az olmasından ötürü, saldıran öncelikli olarak bir işareti tıkayıp, aynı noktadan yeni bir işaret gönderebilir. Bağlantılı tıkama denilen bu tip bir saldırının etkisi kurbanın çıkış işaret gücü düşükse daha etkindir. İşaretin ele geçen kısmı çıkartılıp, yerine gürültü eklenerek hedefe gönderilebilir. Ayrıca, çok sayıda gecikme de eklenebilir ve böylece hedefte, çok sayıda yol üzerinden yönlendirilerek ulaştığı izlenimi uyandırır.

4. OPTİK AĞLARDA SERVİS KALİTESİNİN İZLENEREK GÜVENLİK SORUNLARINA MÜDAHALE EDİLMESİ

Güvenlik saldırılarından biri olarak, daha önceki bölümlerde servis kalitesinin düşürülmesi sayılmıştı. Bunun için önerilen yaklaşım, dinamik dalgaboyu yönlendirme kullanarak bir ışık yolu boyunca taşınan işaretin servis kalitesini görüntülemek için bağ bağ bütünlük testine dayanır. Bu yüzden bu yöntem güç düzeyleri, kuvvetlendirici kazanç istatistikleri, çapraz karışma, ve ASE bileşenleri gibi birtakım ön verilere gereksinim duyar. Bu parametreleri seçilen bir ışık yolu boyunca düğümler arasına saçmak için, ışık yollarını donatan Genelleştirilmiş Çok Protokollü Etiket Anahtarlama (GMPLS) gibi güvenilir bir denetim ve yönetim mekanizmasına dayanır. Böyle bir mekanizmanın seçilen yol üzerinde ışık yolu seçmesi bağlantıya bir dalgaboyu ataması ve ağdaki optik anahtarları ayarlaması gerekmektedir. Son olarak da her bir bağ üzerinde hangi dalgaboylarının kullanıldığının güncellemesini yapması gerekir, böylece WSS’ler yönlendirme kararlarını güncel bilgilere bağlı kalarak gerçekleştirebilirler.
Bu yöntemde temel mantık, ışık yolu kurulumu aşamasında performansa bağlı parametrelerin düğümler arasında değiş tokuşuna dayanmaktadır. Sözkonusu parametreler sürekli değiştiği için GMPLS gibi bir protokol ile seçilen ışıkyolu üzerinde dağıtılması ve güncellenmesi sağlanabilir. Bir ışık yolu, bir kaynak-hedef düğüm çifti arasında sanal ışık yolu denilen (Virtual Light Path-VLP) çok sayıda noktadan noktaya iletim bağından oluşan uçtan uca bir bağlantıdır. Her ara düğüm bir sanal düğüm (Virtual Node-VN) olarak adlandırılabilir, aynı zamanda sanal alıcı (Virtual Receiver-VR) ve sanal verici (Virtual Transmitter-VT) olarak da adlandırılablir. Böylece, VN’lerin giriş ve/veya çıkış iskelelerinde BER belirleme, kısmen bir VLP ve tabii ki bütün ışık yolu üzerinde iletilen işaretlerin kalitesinin değerlendirilmesinde kullanılabilir. Böylece, QoS düşmesi ve buna neden olan saldırıların ve yerlerinin hızlıca belirlenmesi sağlanır.
BER, bir ışık yoluyla ilişkilendirilmiş anahtar başarım özelliği olduğu ve yalnızca işaret elektriksel ortamda olduğunda belirlenebildiği için, QoSG (QoS Guard) adlı bir belirleme cihazı kullanılabilir.. Bu cihaz bir optik işlem birimi (OPU) ve bir servis kalitesi birimi (QoSU) olmak üzere iki birimden oluşur (Şekil 6.b). QoSG, giriş ve çıkış işaretlerinin taşındığı yollara bir tür vana koyarak işaretin bir kısmını test amaçlı ayırır. Bu ayrıştırılan optik işaret OPU içinde taranır ve sonuç olarak elde edilen elektriksel işaret QoSU içinde değerlendirilir. Bu değerlendirme işlemleri BER düşüşlerini tespit edilmesi ve gerekli uyarı işaretlerinin oluşturulmasının tetiklenmesini kapsar. Böyle bir tetikleme işlemi, ölçülen BER değerinin, örneğin 10-12 gibi bir değerin altına düşüp düşmediğine bağlıdır.
QoS izlemenin asıl amacı, yaşanabilecek her noktada performans düşüşünden ağı korumaktır. Bu yüzden aşağıdaki işlevsel gereksinimler karşılanmalıdır:


-     Işık yolları boyunca başarım kaybının hızlı ve doğru tespiti
-     Servis engelleme ve QoS kaybının yerinin kolayca belirlenmesi.
-     Kaynağın tanınması ve tanımlanması ile ağdaki servis engellenmesinin özünün görüntülenmesi.

5. SONUÇ

Yapılan çalışmada, tam optik ağların güvenliklerinin sağlanması, ve tam optik ağlardaki bileşenler ile bunların yapıları verilmiştir. Tam optik ağların tanımları kullanılarak, fiziksel güvenlik sorunları tanımlanmıştır. Bu sorunlar temel olarak servisin reddi ve tıkama saldırıları olarak birarada toplanmıştır. Saydam geçişin, tam optik ağ bileşenleriyle birlikte hangi güvenlik açıklarına neden olabileceği irdelenmiştir. Tam optik ağlara birtakım geleneksel teknikler de uygulanabilirken, karşı önlemler alınırken, tam optik ağların fiziksel yapıları ve mimarilerinin göz önüne alınarak sorunların düşünülmesi gerektiği gösterilmiştir. Çünkü servis reddi saldırıları çoğunlukla ağın fiziksel altyapısına bağlı olmaktadır.
Servis engellemenin de önemli bir saldırı olabileceği dikkate alınarak bağdan bağa başarımı test eden bir metod anlatılmış ve gereksinimleri belirtilmiştir. Bir ağ yönetim sisteminin de garantili, etkin ve sürekli haberleşme sağlanmasındaki önemi göz önünde bulundurularak servis görüntüleme ağ yönetim sistemiyle de ilişkilendirilmiştir.

Saygılar..
 


Düzenleyen megabros - 08-06-2009 Saat 13:55
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.184 Saniyede Yüklendi.