bilgiz.org

Optik ağlarin güvenliĞİ

  • “Optik Ağlarda Güvenlik”
  • 2. TAM OPTİK AĞLAR
  • 3. OPTİK AĞLARDA GÜVENLİK KONUSUNDAKİ ZAYIFLIKLAR
  • 3.2 Optik Ağların Karşılaşabileceği Saldırılar
  • 3.3 Optik Ağların Karşılaşabileceği Saldırılara Karşı Güvenlik Önlemleri
  • 4. OPTİK AĞLARDA SERVİS KALİTESİNİN İZLENEREK GÜVENLİK SORUNLARINA MÜDAHALE EDİLMESİ
  • 6. KAYNAKLAR



  • Tarih03.07.2017
    Büyüklüğü72.57 Kb.

    Indir 72.57 Kb.


    T.C.

    İSTANBUL TEKNİK ÜNİVERSİTESİ

    Fen Bilimleri Enstitüsü

    Bilgisayar Mühendisliği Anabilim Dalı

    BİLGİSAYAR AĞLARINDA GÜVENLİK



    Prof. Dr. Bülent ÖRENCİK

    “Optik Ağlarda Güvenlik”

    konulu araştırma raporu

    Yük. Müh. Burak KANTARCI

    504042509

    İçindekiler


    “Optik Ağlarda Güvenlik” 1

    konulu araştırma raporu 1

    İçindekiler 2

    1. GİRİŞ 3

    2. TAM OPTİK AĞLAR 3

    3. OPTİK AĞLARDA GÜVENLİK KONUSUNDAKİ ZAYIFLIKLAR 5

    3.2 Optik Ağların Karşılaşabileceği Saldırılar 7

    3.3 Optik Ağların Karşılaşabileceği Saldırılara Karşı Güvenlik Önlemleri 10

    4. OPTİK AĞLARDA SERVİS KALİTESİNİN İZLENEREK GÜVENLİK SORUNLARINA MÜDAHALE EDİLMESİ 13

    5. SONUÇ 14

    6. KAYNAKLAR 15



    OPTİK AĞLARIN GÜVENLİĞİ

    1. GİRİŞ

    Son yıllarda Internet omurgası üzerinde, yüksek bandgenişliği gereksiniminin artmasıyla birlikte, verilerin optik ortam üzerinden yüksek hızlarda taşınması gündeme gelmiştir. Pratikte 100Gbps düzeyinde iletim hızında hizmet verebilen tam optik ağların Tbs (terabit / s) düzeyinde iletime olanak verebildiği laboratuvar ortamında gösterilmiştir. Tam optik ağların sunduğu en önemli kazanımlardan biri, gönderilen sinyallerin ağ içinde yeniden yaratılması sorununu ortadan kaldırması ve veri transferine saydamlık kazandırmasıdır.

    Tam optik haberleşmenin çok yüksek hızlarda gerçeklendiği bilindiğinden, optik ağların güvenliği konusundaki çalışmalar çok yeni ve daha kısıtlıdır. Optik ağlarda güvenlik temel olarak 2 ana başlıkta toplanmaktadır: Fiziksel ortam güvenliği ve anlamsal güvenlik. Fiziksel güvenlik, bilginin bütünlüğü ve gizliliği üzerinde odaklanırken, anlamsal güvenlik, saldıranın iletim kanalına erişimi durumunda bilginin korunması üzerine odaklanır.

    2. TAM OPTİK AĞLAR

    Tam optik ağlar zaman bölmeli çoğullama (TDM) kipinde hizmet veren ağlar ve dalgaboyu bölümlemeli çoğullama (WDM) kipinde hizmet veren ağlar olmak üzere iki ana kategoride toplanabilirler. Ancak en yaygın kullanılan çoğullama yöntemi WDM olarak kabul edilmektedir. WDM ağlar, bir optik lifin bandgenişliğini, her biri 10Gbps kapasiteye sahip çok sayıda dalgaboyu kanalına böler. Veri iletimi bu dalgaboyu kanalları üzerinden dalgaboyu / frekans seçici anahtarlar (WSS) aracılığıyla gerçeklenir.

    İki uç arasında haberleşmenin başlaması için bir sanal devre kurulurken, sözkonusu bağlantıya bir dalgaboyu atanır ve haberleşme bu bant üzerinden gerçeklenir. Şekil-1’de görüldüğü gibi sol üstteki kullanıcı 8 dalgaboyu kanalını farklı uçlarla kurduğu bağlantılar için kullanmaktadır. Bir bağlantı için, yol üzerinde birden fazla dalgaboyu da kullanılabilir. Bunun için bağlantıya atanan yol üzerindeki sekmelerde bir dalgaboyundan diğerine geçişi sağlayacak dalgaboyu dönüştürücüler olmalıdır, ancak gerek problemi basit tutmak açısından gerek dalgaboyu dönüştürücülerinin maliyetinin yüksek olmasından dolayı bu raporda dalgaboyu dönüştürme işlemine değinilmemektedir.

    Optik ağların kimi özellikleri, saldıranın trafiği analiz etmesi, servis kalitesini düşürmesi, iletim kanalını dinlemesi veya servisin reddini gerçeklemesine olanak tanıyacak niteliktedir. Yüksek hız ve kapasitede iletişim, güvenlikle ilgili iki sonuç ortaya çıkartır: 1) Saldırılar, kısa süreli ve seyrek dahi olsa, saldırıya maruz kalan verinin miktarı çok büyüktür. 2) Uç kullanıcıların haberleşme protokolleri, daha yavaş ve elektronik ortamlar için tasarlanmış protokoller olabilir. Örneğin TCP / IP gibi bir protokol grubu, planlandığı ortam için iyi performansla çalışsa da, uzun mesaferde yüksek debili haberleşme ortamlarında servisin reddi saldırılarına çok açıktırlar.

    Optik ağlarda gönderilen işaretler, saydam geçişi sağlamak için, elektronik tabanlı veya elektro-optik ağlarda olduğu gibi ara düğümlerde yeniden oluşturulmazlar, ancak kimi düğümlerde optik kuvvetlendiriciler bulunur. Verilerin ağ üzerinde saydam geçişi birtakım güvenlik sorunlarına da neden olabilmektedir.





    Şekil 1. Tam optik bir WDM ağ

    3. OPTİK AĞLARDA GÜVENLİK KONUSUNDAKİ ZAYIFLIKLAR




    3.1 Optik Ağlarda Oluşabilecek Güvenlik Sorununa Neden Olabilecek Durumlar

    Tam optik ağlar, yüksek veri hızlı ve genişbandlı uygulamalar sunmaktadırlar. Optik ağların en önemli özelliği, önceki bölümde de belirtildiği gibi yönlendirme ve anahtarlamada, işaretlerin ağ içerisinde yeniden oluşturulmasına gerek kalmaksızın tam saydam bir iletim sağlamalarıdır. WSS ve tam optik kuvvetlendiriciler tarafından sağlanan bu saydam geçiş olanağı, halen üzerinde çalışılan birtakım güvenlik açıklarına neden olabilecek durumlar da doğurabilmektedir. Bu durumları 3 ana başlıkta toplayabiliriz:



      • Çapraz karışma

      • Kuvvetlendirilmiş doğal emisyon gürültüsü

      • Kazanç rekabeti




    3.1.1. Çapraz Karışma (Crosstalk)
    Tam optik ağ elemanları, aynı işlevleri gören elektronik veya opto-elektronik elemanlarla karşılaştırıldığında daha az sağlam ve dayanıklıdırlar. Buna bağlı olarak, WDM dalgaboyu kanalları arasında oluşabilecek yüksek derecede çapraz karışma ciddi bir güvenlik problemi olarak önümüze çıkmaktadır. Saldıranlar tarafından, çapraz karışma, uçlar arasındaki haberleşmeyi tıkamak veya hizmet kalitesini düşürmek amacıyla, ağ içerisine çeşitli optik işaretler göndermek yoluyla kullanılabilir.

    Şekil 2’de, Kullanıcı 1’in gönderdiği optik işaretin aynı WSS içinde, Kullanıcı 2’nin işaretiyle çapraz karışmaya neden olduğu gözlemlenmektedir. Pratikte, ayrışıtırıcı ve çoğullayıcılar için (-20 dB, -30 dB) çapraz karışma düzeyinin elverişli olduğu bilinmektedir. Ancak -30 dB düzeyinde bir çapraz karışmanın dahi çeşitli saldırılara neden olabileceği ve bu saldırıların niteliği ilerleyen bölümlerde anlatılmaktadır. Çapraz karışmanın en önemli zararlarından biri de toplanabilir niteliğidir. Bundan dolayı, optik ağ içinde yayılan birleşik bir çapraz karışma tek bir düğümdeki etkisinden daha zarar verici olabilir.






    Şekil 2. Çapraz Karışma


    3.1.2. Kuvvetlendirilmiş doğal emisyon gürültüsü (ASE Noise)
    İki enerji düzeyinden oluşan bir atomik sistem düşünelim. Yüksek enerji düzeyi E2’den E1’e inen atomlar hfc enerjisine sahip foton yayarlar. E2’den E1’e doğan emisyon oranı bir sistem karakteristiği olarak düşünülüp, τ21 parametresi de doğal emisyon süresini gösterir. Yani, E2 düzeyinde N2 atom bulunuyorsa, doğal emisyon oranı N2 / τ21 olur. Bu durumda doğal emisyon gücü de hfcN2 / τ21 olacaktır. Yayılan fotonlar, optik işaret olarak aynı enerjiye sahip olmalarına karşın, saçılma yönleri ve polarizasyonları farklıdır.

    Kuvvetlendiriciler, doğal emisyon ışımasını hfc frekansında bir diğer magnetik alan olarak değerlendirir, ve dolayısıyla, optik işarete ek olarak, doğal emisyon da kuvvetlendirilir. Kuvvetlendiricilerin çıkışında, bu durum gürültü olarak açığa çıkar. Sonraki bölümlerde, optik ağların ASE gürültüsü ile nasıl saldırı hedefi olabileceği açıklanmaktadır.


    3.1.3. Kazanç Rekabeti
    Optik lif içindeki çok sayıda bağımsız WDM dalgaboyu kanalı, uyarılmış serbest fotonlardan oluşan sınırlı bir foton havuzunu paylaşırlar. Bu durum da EDFA’nın çıkışında kazanımı daha yüksek olan dalgaboyları, daha düşük kazanımlı dalgaboylarında taşınan fotonları çalarak daha kuvvetli bir işaret üretmeleri mümkün olabilmektedir. Şekil 3’te farklı dalgaboylarının, farklı kuvvetlendirici güçleri altında kazanımları için bir örnek görünmektedir.




    Şekil 3. Kazanç rekabeti

    3.2 Optik Ağların Karşılaşabileceği Saldırılar

    Tam optik bir ağa gerçekleştirilebilecek saldırılar 3 ana grupta toplanabilir:




      • Trafik analizi ve dinleme: Araya giren, ağdaki haberleşmeyi dinler veya ağ üzerinden geçen trafiği analiz ederek birtakım sonuçlara ulaşmaya çalışır.

      • Servisin reddi: Optik işaret, araya giren tarafından bir şekilde bozulur.

      • QoS düşürülmesi: Saldıran, rastgele ve kuvvetli optik işaretler göndererek, alıcıya iletilmek isteyen işareti ezer.

    Servisin reddi ve QoS düşürülmesi saldırıları, saldırılar ve işaret zayıflamasının gerçekleşebileceği tüm düğümlerde belirlenip tanımlanabilmelidir. Yüksek veri hızı, kısa sürede çok fazla verinin tehlikeye düşmesine de neden olmaktadır. Verilerin hedeflerine ulaşmasındaki gecikmeler, büyük miktarda verilerin, iletimin herhangi bir anında kaybolması olarak değerlendirilir. Herhangi bir anda, hata olarak tespit edilen bir saldırı, çok hızlı bir şekilde ağdaki düğümlere yayılır. Eğer saldırılar tüm düğümlerde belirlenmemişse, ağ yönetim sistemi (NMS) tarafından, uygun olmayan işlemler gerçekleştirilebilir. Bu nedenlerden dolayı, düğümlerde, saldırıların sınanması sıklığı veri iletim hızının bir fonksiyonu olmalıdır.

    Bu bölümde, optik ağlara gerçekleşebilecek saldırılara belirli örnekler vererek 3 temel optik ağ bileşeni olan optik lifler, optik kuvvetlendiriciler ve WSS’ler açısından değerlendireceğiz.


    3.2.1. Servis Engelleme Saldırıları
    Optik lifler, idealde ışığı farklı dalgaboyları üzerinden, sadece frekansa bağlı yayınım gecikmesi (dispersiyon) ve sönüm ile yayarak iletirler. Optik liflerin kaybı ortalama 0.2 dB/km olacak şekilde çok düşük ve normal şartlar altında lineer davranıştadır. Normal çalışma şartları altında, optik liften çok düşük miktarda güç ışıması görülür. Bu, veri taşınan diğer ortamlara göre oldukça iyi bir başarım sayılabilir. Ancak, tıpkı koaksiyel kabloda olduğu gibi, korunmasız optik life saldıranın fiziksel erişimi durumunda güvenliği oldukça düşüktür. Alıcıya optik lif üzerinden sağlanan servis, optik lifin kesilmesi veya optik life herhangi bir şekilde zarar verilmesi durumunda engellenebilir. Daha az engelleyici bir fiziksel saldırı ise, optik lif içerisinde taşınan ışığa müdahale etmek ve böylece ışığın lif içinde dağılmasını veya lif dışına yönelmesini sağlamak olacaktır. Böylelikle, bir dalgaboyu üzerinden kurulan bağlantı, kolaylıkla o dalgaboyu üzerine ışık vererek engellenebilir. Optik ağ içinde böylesi bir saldırının yerinin tespiti ise oldukça zordur.

    Yüksek giriş gücü ve uzun mesafelerde, optik liflerin lineer davranışının bozulmasıyla birlikte, farklı dalgaboyları üzerindeki işaretlerin birbirini etkilemesi (güçlendirme veya söndürme yoluyla) karışması sorunuyla karşılaşılabilir. Çapraz karışma adını verdiğimiz bu etki, ağa saldırıda bulunan tarafından da kolaylıkla kullanılabilir.

    Optik kuvvetlendirici’ler (EDFA), önceki bölümlerde anlatıldığı gibi, girişe gelen optik işareti kuvvetlendirerek olduğu gibi çıkışa yöneltir ve böylece optik işaretin gücünü kabul edilebilir bir düzeye çeker. Kuvvetlendiricilerin bu özelliği, çıkışlarında 3.1.3’te anlatılan kazanç rekabeti sorununu gündeme getirir. Bunun sonucu olarak da daha güçlü bir kullanıcı olan saldıran, daha zayıf bir kullanıcının fotonlarını çalabilir, böylece sözkonusu kullanıcının kazancını da düşürmüş olur. Kazanç rekabeti sorunu, optik liflerin kayıp oranının çok düşük olduğu göz önünde bulundurulduğunda, EDFA’ların uzak noktalardan gelen güç bastırımı saldırılarından çok kolay etkilenebildiklerini göstermektedir. Böyle bir saldırının şiddeti, saldıranın optik kuvvetlendiriciye olan uzaklığına, optik kuvvetlendiricinin konfigürasyonuna, ve ağın mimarisine de yakından bağlıdır. Kimi saldırı anlarında, saldıranın, hedef düğüme kaynak tarafından verilen hizmeti reddetmesi olasıdır.

    Dalgaboyu seçici anahtarlar (WSS), farklı dalgaboyları üzerinden taşınan optik işaretleri çıkışa yönlendirirler. Dalgaboyu ayrıştırıcı ve çoğullayıcılar WSS’lerin iki önemli elemanıdır. Şekil 2’de görülen bir WSS’dir. Girişlerdeki ayrıştırıcıların her biri, belirli bir dalgaboyu üzerinden taşınan tüm işaretleri, iki anahtarlama düzleminden birine gönderir. Anahtarlama düzleminde çıkış iskelelerine iletilen, işaretler, çıkıştaki lif üzerinde çoğullanır. WSS içindeki kayıpları azaltmak için, anahtar girişi ve/veya çıkışında optik kuvvetlendirici kullanılabilir.

    WSS’lerin anlamlı çapraz karışma düzeyleri vardır. Çapraz karışma düzeyi WSS’nin yapısına ve içindeki elemanlara bağlıdır. Şekil 2’deki WSS içinde, kullanıcı 1’den gelen işaret alt taraftaki çıkış iskelesine yönlendirilmesi gerekmektedir, oysa kullanıcı 2’nin yönlendirildiği iskeleye yönlendirilerek iki işaretin girişimine neden olmaktadır. Şu anki WSS’lerin çapraz karışma düzeyleri -20 dB ile -30 dB arasında değişmektedir.

    Bu çapraz karışma düzeyinin kullanılarak bir engelleme veya hizmet reddi saldırısının gerçekleşmesi olasıdır. Servis reddi için, saldıran, yeterince güçlü bir işareti fiber üzerinden geçirirse, WSS’de anahtarlama düzlemlerinin çıkışında, belirli bir oranının reddedilmek istenen hizmeti taşıyan işaret üzerine kırılması ve o iki uç arasındaki iletişimin engellenmesi mümkündür. Bir diğer saldırı örneği ise bir açık / kapalı anahtarlı işareti, alıcının uyum sağlayamayacağı bir hızda (bps) ve alıcıda filtrelenmeyecek kadar da yavaş üreterek göndermektir. Şekil 2’deki kullanıcı 1, WSS’deki EDFA’yı tıkamak için, WSS’ye bir bastırıcı işaret gönderir, sonuç olarak da sözkonusu EDFA ile kuvvetlendirilecek olan tüm diğer işaretleri bastırmış olur. Bir kuvvetlendiriciyi tıkama yoluyla düzenlenen saldırı, kimi zaman sözkonusu düğüme giren bir fibere fiziksel yollarla erişimle düğümü çökertebilir.

    Görüldüğü gibi, elektro-optik ağlardaki işaretin yeniden yaratılması, bu tip saldırıların önüne geçebilecekken, tam optik ağlarda, saldırıda bulunan, WSS’lerde bir dalgaboyundan diğerine sıçrayarak veya çok sayıda dalgaboyu taşıyan ışığı optik life göndererek “başarılı” bir saldırıda bulunabilir.
    3.2.2. Tıkama Saldırıları
    Tıkama saldırılarını öncelikle optik lifler ve kuvvetlendiriciler üzerinde düşünelim. Optik life fiziksel erişim imkanı olan bir kullanıcı, fiberin biçimini değiştirerek bir işaretin belirli bir bölümünü elde edebilir. Ayrıca, optik lifler, özellikle kuvvetlendiricilerin çıkışlarında yüksek çıkış güçlü işaretler taşıdıkları için belirli bir çapraz karışma düzeyi de sergiler, bu da optik lif üzerinde taşınan işaretin yayınımını güçlendirerek tıkama olanağı sağlar.

    Bazı optik kuvvetlendiricilerde, işaretler arasındaki kazanım rekabeti çok hızlı görünür. Bu tip durumlarda tıkama saldırısı, çapraz-modülasyon etkileri gözlenerek gerçekleştirilebilir.

    Servis engellemesi saldırısının etkinliğinin arttırılması için tıkama saldırısı işaret bastırma saldırısı ile birlikte düşünülebilir. Tam optik ağlarda, gecikmeler, veri iletim hızına oranla çok daha az olmasından ötürü, saldıran öncelikli olarak bir işareti tıkayıp, aynı noktadan yeni bir işaret gönderebilir. Bağlantılı tıkama denilen bu tip bir saldırının etkisi kurbanın çıkış işaret gücü düşükse daha etkindir. İşaretin ele geçen kısmı çıkartılıp, yerine gürültü eklenerek hedefe gönderilebilir. Ayrıca, çok sayıda gecikme de eklenebilir ve böylece hedefte, çok sayıda yol üzerinden yönlendirilerek ulaştığı izlenimi uyandırır. Şekil 4’te böyle bir bağlantılı tıkama örneği gösterilmektedir.




    Şekil 4. Bağlantılı Tıkama

    WSS’ler üzerinde oluşabilecek tıkama saldırıları da mevcuttur. Şekil-2’deki senaryoyu düşünelim. Kullanıcı 2, kullanıcı 1 tarafından tıkanmakta çünkü kullanıcı 1, aşağıdaki lif üzerinden yönlendirilecekken, yukarıdaki life sıçramaktadır. Böylesi bir saldırı için geliştirilebilecek en basit ve etkin yazılım tabanlı çözüm, sadece sözkonusu çıkıştan gelmesi beklenen işaretlerin optik güçlendiriciler tarafından güçlendirilmesidir. Ancak bu maliyeti yüksek bir çözüm olacaktır çünkü her bir dalgaboyu için birbirinden bağımsız olacak şekilde daha fazla sayıda optik güçlendiricilere gereksinim duyulacaktır. Bu durumda Şekil 2’deki çapraz karışma işareti güçlendirilmeyecektir. Bunun yanında, saldıranın, bu önlemin önüne nasıl geçebileceği Şekil 5’te gösterilmiştir. Şekilde, saldırıyı düzenleyen kullanıcı 1’dir. Saldıranın mavi düzlem üzerindeki isteği, WSS tarafından aşağıdaki optik lif üzerine yönlendirilmiştir. Bu durumda, kullanıcı 1’in isteği, kullanıcı 2’nin isteğinin sızmasının üzerine eklenecektir. Böylece, alttaki optik lif üzerinde mavi için gönderilmiş bir istek bulunduğu için, ağ yazılımı optik kuvvetlendiriciyi bloke etmeyecektir. Bu tip durumlarda beklenmeyen kayıpların karşılanması için, ağ denetim algoritmaları zayıf işaretlere ekstra kuvvetlendirme uygulayabilirier. Ancak, kullanıcı 1, mavi üzerinden hiçbir işaret geçirmiyorsa, kullanıcı 1’in isteğinden elde edilen tek işaret, yalnızca kullanıcı 2’nin kuvvetlendirilmiş sızıntısı olacaktır.






    Şekil 5. WSS Üzerinden Tıkama Saldırısı



    3.3 Optik Ağların Karşılaşabileceği Saldırılara Karşı Güvenlik Önlemleri

    Tam optik ağlarda güvenlik şemasının üç bileşeni vardır. Önüne geçme, belirleme ve tepki. Güvenlik önlemleri için, merkezi veya dağıtık bir ağ yönetim ve denetim birimi ile bir güvenlik durumu veritabanı bulunduğunu varsayılarak bu başlıklar bu bölümde incelenmektedir.



    3.3.1. Önüne Geçme
    Önüne geçme metotları üç alt başlıkta toplanabilir: 1) Donanıma bağlı güvenlik açıklarını azaltanlar. 2) Belirli saldırılara karşı geliştirilen iletim şemaları. 3) Tam optik ağlarda protokol ve mimari yapıların tasarımı.

    Öncelikle servis engellemesinin önüne geçecek donanım önlemlerinin üzerinde duralım. İşaret bastırma saldırılarına karşı, WSS’lerin çıkışında belirli kuvvetteki işaretlerin geçirilip, geri kalanların geçirilmemesi için sınırlı optik kuvvetlendiriciler (OLA) kullanılabilir. Böylece çapraz karışma belirli sınırlarda tutulmuş olur. Band sınırlayıcı filtreler, belirli bandgenişliğinin dışındaki işaretlerin geçmesini engellemektedir böylece kazanım rekabeti saldırısının önüne geçmek için kullanılabilir.

    Donanım önlemleri, aynı zamanda tıkama saldırılarının önüne geçmek için kullanılabilir. Yerel ağ güvenliği için, optik liflerin dış ortamdan korunması, böylece dışarıdan ışık veya bir başka fiziksel yolla müdahale edilmesi engellenebilir. Ancak WAN ağlar için aynı durum sözkonusu değildir. Fiziksel olarak optik liflerin korunması, çapraz karışma yoluyla tıkama saldırısından ağı koruyamaz. Çapraz karışım düzeyi düşük cihazlar kullanarak hem servis engellemesi hem de tıkama saldırılarının etkisini azaltır.

    Donanım önlemleri, bileşenlerin tasarımı ve maliyet çekişmesi göz önünde bulundurularak düşünülmelidir. Örneğin, OLA kullanımı ile WSS’lerde daha yüksek çapraz karışma düzeylerine dayanıklılık getirileceği görünmektedir. Ancak OLA kullanımının maliyetiyle, çapraz karışma düzeyi arasında bir tercih yapılması gerekmektedir. Bir diğer çekişme ise güvenilmeyen kullanıcıların çapraz karışma yoluyla bir kanalı tıkayarak ele geçirmeleri durumunda ortaya çıkar. Bu durum, daha zor bir şekilde optik life fiziksel olarak müdahale edilerek işaretin tıkanmasıyla eşdeğerdir. Bu durumda çarpaz karışmanın engellenmesi ile, optik lifin fiziksel olarak korunması arasında bir maliyet analizi yapılmalıdır.

    İletim şemaları ise, tıkama ve işaret bastırma önlemlerinde önemli bir rol oynar. İletim şemaları çok sayıda tekniği çevreler. Bu teknikler belirli saldırılara karşı geliştirilen modulasyonlar, işaret bastırmaya karşı koruma olarak geliştirilen kodlama, işaretleri akıllıca belirli bandgenişliği ve SNR değerlerinde tutma ve bazı fark mekanizmaları kullanarak saldırıları daha zor kılmak olarak düşünülebilir. CDMA’daki kodlama şeması kablosuz ortam ve daha sınırlı bandgenişliği için uygun olduğundan TDMA benzeri daha basit ve yüksek bandgenişliği için uygun bir kodlamaya gidilebilir.

    Protokol ve mimari yapıları tasarımı içinse şöyle bir örnek düşünelim: Kullanıcı 1, kabul edilemeyecek düzeyde çıkış gücüne sahip bir işaret gönderdi. Bu durumda kullanıcı 1, ağ güvenlik durumunun tutulduğu veritabanında güvenilmeyen kullanıcı olarak işaretlenecektir. Eğer kullanıcı 2’yi kullanıcı 1’in sevis engellemesi saldırısından korumak istiyorsa, bu iki kullanıcı tarafından kullanılan OA veya WSS’lerin paylaşımı ağ yönetim sistemi tarafından engellenecektir.

    Kullanıcıları ayrıştırabilmek için, yol ve dalgaboyları seçiminde esneklik sahibi olabilmemiz gerekir. Ağdaki düğümler arasına bağlantılar eklemek,bir işaretin farklı yollardan yönlendirilebilmesi olanağını sağlasa da, ağın bazı kısımlarını yeni saldırılara açık hale getirir. Örnek olarak bir halka topolojisini düşünelim. Halka yapısındaki topolojilerde iki nokta arasında iki yol sunularak, farklılaşma sağlanabilir. Halka topolojilerin en zayıf yanı, belirli bağlantıların üzerinden trafiğin çok yoğun bir kısmının akmasıdır. Bir halka üzerinde WDM kullanımı, farklı düğümler arasında farklı dalgaboylarının trafik taşımasına izin vermesi açısından avantajlıdır, böylece tüm trafik aynı dalgaboyu üzerinden akmaması ile belirli tehlikeler azaltılmış olur.
    3.3.2. Belirleme
    Saldırıların belirlenmesi üç fonksiyonu kapsar: 1) Olay tanıma, 2) Güvenlik hatası tanımlama, 3) Uyarı yaratma. Bu üç adım ardışıl gerçeklenmek zorunda değildir. Tam optik ağlarda saldırı belirleme diğer bilgisayar ağlarındaki saldırı belirleme sorunundan daha zordur. Kimi açık saldırılar için belirleme, veri akışından bağımsız gerçekleştirilebilir. Örneğin, optik lifin herhangi bir yerde hasar görmüş olması, alınması gereken bir denetim işaretinin durması halinde belirlenebilir. Yüksek çıkış güçlü işaret bastırma saldırıları düzenleyenler ise bir güç entegratörü ile ölçülerek belirlenebilir. Gizli saldırıların belirlenmesi daha zordur. Optik lif üzerinde bit hata oranı (BER) 10-11 ve daha altındaki değerlerdedir. Bu yüzden oldukça küçük girişimler BER değerinde göreli büyük ve daha küçük BER değerleri için tasarlanmış kodlama yöntemlerince karşılanamayacak artışlara neden olur. Önerilebilecek bir çözüm, farklı fiziksel yolları izlemiş olan iki bit dizisini karşılaştırmak olabilir. Artık bit dizileri kullanımı da saldırı belirlemeden sonra verilecek tepkide yararlı olabilir, ancak artık bit dizileri daha fazla kaynak tüketimi gereksimini de beraberinde getirmektedir.

    Güvenlik hatasının yeri ve saldırı tipini tanımlama da diğer ağlardakinden daha farklıdır. Diğer bilgisayar ağlarında hata tanımlama, uyarının yapıldığı alanı belirlemeye, uyarıları birbiriyle ilişkilendirmeye ve belirli bir hatanın oluşmuş olma olasılığını tahmin edebilmek için birtakım algoritmaların çalıştırılmasına dayanır. Aynı teknikler tam optik ağlara uygulanabilir olsa da, birtakım sorunlar da görülmektedir. Veri iletimindeki saydamlık, düğümleri görüntülemeyi zorlaştırmaktadır. Örneğin işareti bastırma hatası saydam bir şekilde ağ üzerinden akarak hızla yayılabilir. Belirli bir süre içinde de, saldırı noktasını tespit etmek zor olabilir. Alarmları ilişkilendirme ve hataları tanımlama algoritmalarını çalıştırmanın, bu algoritmaların ağ boyutuna bağlı olarak polinomsal karmaşıklığa sahip olmaları durumunda da gerekli olan hızlı belirleme süresine göre kabul edilemeyecek kadar büyük olup olmadığı çok net değildir. Belirli alarm kümeleri tanımlanıp, bu kümeler için önceden planlanmış yanıtlar tanımlanmalıdır.

    Alarm yaratma farklı amaçlara hizmet edebilir. Hata kotarma mekanizmalarından sorumlu elemanlar hızlı bir biçimde uyarılmalıdır. Ağdaki diğer düğümler de adaptif olarak önceden planlanmış yanıtlarını değiştirmeleri için uyarılmalıdırlar. Optik ağın uç düğümlerine verinin bozulmuş olabileceğini bildiren bir işaret gönderilebilir.


    3.3.3. Tepki

    Tepki temel olarak, saldırının kaynağını, yeni saldırılar düzenlemesini engellemek için dışlama, bileşenlerin yeniden ayarlanması, yeniden yönlendirmelerin yapılması ve ağın güvenlik durumu veritabanının güncellenmesinden oluşur. Bir saldırıya karşı gösterilen tepki, saldırının yeri ve şiddetine bağlı olabilir. Örneğin, saldırının yerinin kesin olmamasından veya şiddetinin ağda hasar oluşturmayacak durumda olmasından dolayı saldıranı dışlamanın gerektiği gibi gerçeklenememesi durumunda, ağın başarmaya çalıştığı değişim düzeyini belirleyen parametrelerin güncellenmesi tercih edilebilir.

    Önceden belirtildiği gibi, tam optik ağlardaki hızlı veri iletimi, kısa sürede çok yoğun veri bozulmasına neden olabileceği için, hata kotarma gecikmesini kritik kılar. Zamanında hata kotarmayı garantilemek için, gerçek zamanlı yazılım çözümlerine bağlı gecikmeleri engellemek amacıyla, önceden planlı yanıtların uygulamaya konması tercih edilmelidir. Basit bir önceden planlı yanıt, güvenlik tehditi olarak görülen bir kullanıcının dışlanması olabilir. Bir kullanıcı, kendisine atanan dalgaboyu üzerindeki ortalama toplam işaret gücünün çok yüksek olduğunu görmesi durumunda, haberleşmesinin eksildiğini anlayacaktır. Bir diğer yaklaşım ise, önceden planlanmış yolları tehlikeye düşmüş ağ kesitlerinde oluşturmaktır. Bir düğümün veya lifin belirli bir kesitinin saldırıya maruz kaldığına karar verilirse, otomatik koruma anahtarlaması (APS) yoluyla yedek yol üzerinden iletime geçilebilir. Eğer, yedek yol üzerine anahtarlanma yeterince gecikmişse, bu durumda kayıp veya bozulmuş veriler yeniden gönderilmeyebilir. APS yoluyla bir optik lifin yalıtılması ADM’ler (add-drop multiplexer) yoluyla gerçeklenir. Opto-mekanik ADM bir optik liften diğerine bir kaç 10ms süre içinde anahtarlanmayı sağlayabilir ve çok düşük çapraz karışmaya neden olur. Akusto-optik ADM’ler mikrosaniyeler mertebesinde anahtarlanmayı sağlarken, Lityum-niobate anahtarlar nanosaniyeler mertebesinde anahtarlanmayı gerçekleyebilirler. Ancak bu çeşit ADM’ler çok yüksek çapraz karışmaya neden olurlar.

    4. OPTİK AĞLARDA SERVİS KALİTESİNİN İZLENEREK GÜVENLİK SORUNLARINA MÜDAHALE EDİLMESİ

    Güvenlik saldırılarından biri olarak, daha önceki bölümlerde servis kalitesinin düşürülmesi sayılmıştı. Bunun için önerilen yaklaşım, dinamik dalgaboyu yönlendirme kullanarak bir ışık yolu boyunca taşınan işaretin servis kalitesini görüntülemek için bağ bağ bütünlük testine dayanır. Bu yüzden bu yöntem güç düzeyleri, kuvvetlendirici kazanç istatistikleri, çapraz karışma, ve ASE bileşenleri gibi birtakım ön verilere gereksinim duyar. Bu parametreleri seçilen bir ışık yolu boyunca düğümler arasına saçmak için, ışık yollarını donatan Genelleştirilmiş Çok Protokollü Etiket Anahtarlama (GMPLS) gibi güvenilir bir denetim ve yönetim mekanizmasına dayanır. Böyle bir mekanizmanın seçilen yol üzerinde ışık yolu seçmesi bağlantıya bir dalgaboyu ataması ve ağdaki optik anahtarları ayarlaması gerekmektedir. Son olarak da her bir bağ üzerinde hangi dalgaboylarının kullanıldığının güncellemesini yapması gerekir, böylece WSS’ler yönlendirme kararlarını güncel bilgilere bağlı kalarak gerçekleştirebilirler.

    Bu yöntemde temel mantık, ışık yolu kurulumu aşamasında performansa bağlı parametrelerin düğümler arasında değiş tokuşuna dayanmaktadır. Sözkonusu parametreler sürekli değiştiği için GMPLS gibi bir protokol ile seçilen ışıkyolu üzerinde dağıtılması ve güncellenmesi sağlanabilir. Bir ışık yolu, bir kaynak-hedef düğüm çifti arasında sanal ışık yolu denilen (Virtual Light Path-VLP) çok sayıda noktadan noktaya iletim bağından oluşan uçtan uca bir bağlantıdır. Her ara düğüm bir sanal düğüm (Virtual Node-VN) olarak adlandırılabilir, aynı zamanda sanal alıcı (Virtual Receiver-VR) ve sanal verici (Virtual Transmitter-VT) olarak da adlandırılablir. Böylece, VN’lerin giriş ve/veya çıkış iskelelerinde BER belirleme, kısmen bir VLP ve tabii ki bütün ışık yolu üzerinde iletilen işaretlerin kalitesinin değerlendirilmesinde kullanılabilir. Böylece, QoS düşmesi ve buna neden olan saldırıların ve yerlerinin hızlıca belirlenmesi sağlanır.

    BER, bir ışık yoluyla ilişkilendirilmiş anahtar başarım özelliği olduğu ve yalnızca işaret elektriksel ortamda olduğunda belirlenebildiği için, QoSG (QoS Guard) adlı bir belirleme cihazı kullanılabilir.. Bu cihaz bir optik işlem birimi (OPU) ve bir servis kalitesi birimi (QoSU) olmak üzere iki birimden oluşur (Şekil 6.b). QoSG, giriş ve çıkış işaretlerinin taşındığı yollara bir tür vana koyarak işaretin bir kısmını test amaçlı ayırır. Bu ayrıştırılan optik işaret OPU içinde taranır ve sonuç olarak elde edilen elektriksel işaret QoSU içinde değerlendirilir. Bu değerlendirme işlemleri BER düşüşlerini tespit edilmesi ve gerekli uyarı işaretlerinin oluşturulmasının tetiklenmesini kapsar. Böyle bir tetikleme işlemi, ölçülen BER değerinin, örneğin 10-12 gibi bir değerin altına düşüp düşmediğine bağlıdır.

    QoS izlemenin asıl amacı, yaşanabilecek her noktada performans düşüşünden ağı korumaktır. Bu yüzden aşağıdaki işlevsel gereksinimler karşılanmalıdır:


    • Işık yolları boyunca başarım kaybının hızlı ve doğru tespiti

    • Servis engelleme ve QoS kaybının yerinin kolayca belirlenmesi.

    • Kaynağın tanınması ve tanımlanması ile ağdaki servis engellenmesinin özünün görüntülenmesi.




    Şekil 6. QoSG ve Ağ Yönetim Sistemi

    Bu gereksinimlerin karşılanması için düşünülmesi gereken bir dizi nokta vardır. Öncelikle, QoSG yöntemi ile ağ yönetim sistemi arasında Şekil 6.c’de ki gibi bir işevsel ilişki oluşturulması yaklaşımlarının tasarımı sorgulanmalı. İkinci olarak, ışık yollarının oluşturulması ve denetimi için kullanılabilir ve önerilmiş denetim ve yönetim protokollerinin (GMPLS gibi) adapte edilmesi gelmektedir. Ayrıca optik düğümler aarasında birtakım ek denetim bilgisinin saçılmasını sağlamak amacıyla yol atama ve işaretleşme protokollerine birtakım eklemeler de gerekebilir. Son olarak, BER düşüşünün tespit edilmesi ve yerinin belirlenmesinden sonra gösterilecek en uygun tepkiye karar verilmesi de önemli bir diğer husustur.



    5. SONUÇ

    Yapılan çalışmada, tam optik ağların güvenliklerinin sağlanması, ve tam optik ağlardaki bileşenler ile bunların yapıları verilmiştir. Tam optik ağların tanımları kullanılarak, fiziksel güvenlik sorunları tanımlanmıştır. Bu sorunlar temel olarak servisin reddi ve tıkama saldırıları olarak birarada toplanmıştır. Saydam geçişin, tam optik ağ bileşenleriyle birlikte hangi güvenlik açıklarına neden olabileceği irdelenmiştir. Tam optik ağlara birtakım geleneksel teknikler de uygulanabilirken, karşı önlemler alınırken, tam optik ağların fiziksel yapıları ve mimarilerinin göz önüne alınarak sorunların düşünülmesi gerektiği gösterilmiştir. Çünkü servis reddi saldırıları çoğunlukla ağın fiziksel altyapısına bağlı olmaktadır.

    Servis engellemenin de önemli bir saldırı olabileceği dikkate alınarak bağdan bağa başarımı test eden bir metod anlatılmış ve gereksinimleri belirtilmiştir. Bir ağ yönetim sisteminin de garantili, etkin ve sürekli haberleşme sağlanmasındaki önemi göz önünde bulundurularak servis görüntüleme ağ yönetim sistemiyle de ilişkilendirilmiştir.

    6. KAYNAKLAR

    [1] R. Ramaswami, K. N. Sivarajan, “Optical Networks: A Practical Perspective”, Morgan Kaufmann, 2nd Ed, 2002.


    [2] P. E. Green, Jr, “Fiber Optic Networks”, Prentice Hall, 1993
    [3] M. Melard, D. Marquis, R. A. Barry, S. G. Finn, “Security issues in all optical networks”, IEEE Network, vol. 11, issue 3, May-June 1997, pp. 42-48
    [4] R. Rejeb, I. Pavlosoglou, M. S. Leeson, R. J. Green, “Securing all optical networks”, Transparent Optical Networks, 2003. Proceedings of 2003 5th International Conference on, vol 1,  29 June-3 July 2003 pp.87 - 90
    [5] M. Machuca, I. Tomkos, “Failure detection for secure optical networks”, Transparent Optical Networks, 2003. Proceedings of 2003 5th International Conference on, vol 1,  29 June-3 July 2003 Page(s):70 - 75 vol.1
    Summary: Network security has become a very sensitive and important topic for manufacturers and network operators. In opaque optical networks, fault management deals with detection and isolation of faults based on the alarms received from the network componen.....
    Summary: All-optical networks (AONs) are a relatively new technology for high data-rate communications. They contain only optical components and are intrinsically different from optical networks currently being used. More specifically, AONs provide transparen.....







        Ana sayfa


    Optik ağlarin güvenliĞİ

    Indir 72.57 Kb.