Rambler's Top100
Статьи ИКС № 07-08 2017
Манфред ШНЕПС-ШНЕППЕ  05 сентября 2017

Информационные сети Пентагона: готовясь к кибервойне

Телекоммуникации – яркий пример технологий двойного применения. В мирное время они входят в сферу ответственности сил гражданской обороны и должны обеспечивать мобилизационную готовность населения на случай чрезвычайных ситуаций. В военное же время системы связи могут перейти под полный контроль военного ведомства. Поэтому сети Пентагона нас и интересуют.

Манфред ШНЕПС-ШНЕППЕ, генеральный директор, «ЦКБ-Абаванет»

Американская техника связи для нужд военных проходила три этапа трансформации – от сигнализации SS7 и интеллектуальных сетей к IP-протоколу и, наконец, к чрезвычайно амбициозным планам киберзащиты сетей.

Joint Vision 2010: как интеллектуальная сеть стала основой DISN

Оборонная информационная сеть США DISN (Defense Information Systems Network) разрабатывалась с начала 1990-х гг. Назначение этой глобальной сети – предоставлять услуги передачи различных видов информации (речь, данные, видео, мультимедиа) для эффективного и защищенного управления вой­сками, связью, разведкой и радио­электронной борьбой (РЭБ).

В 1996 г. был утвержден план стратегического развития военных ведомств США на 15-летний период Joint Vision 2010. В ходе выполнения этого плана вскрылось множество недостатков DISN, прежде всего – низкий уровень интеграции входящих в нее многих сотен сетей, который существенно ограничивал взаимодействие в рамках единой сети и препятствовал эффективному управлению всеми ее ресурсами. В частности, отмечались сложности взаимодействия между стационарной и полевой (мобильной) компонентами базовой сети из-за различия в используемых стандартах, типах каналов связи (аналоговых и цифровых), предоставляемых услугах и пропускной способности (у мобильной компоненты она значительно ниже, чем у стационарной). Это затрудняло материальное обеспечение боевых сил, техническое обслуживание и подготовку специалистов.

Кроме того, используемые сетевые технологии не были достаточно масштабируемыми и не могли в должной мере предоставлять пропускную способность по требованию. Из-за отсутствия общей архитектуры и стандартов затруднялась передача данных в интересах разведки и РЭБ. Несовместимость оборудования усложняла применение различных средств засекречивания и криптозащиты. В целом базовая архитектура DISN была недостаточно гибкой и масштабируемой, особенно для мобильных сил, оперативно развертываемых в различных точках мира.

От ATM к AIN

Возник принципиальный вопрос: на базе какой технологии строить DISN далее? Еще в 1993–1994 гг. на Гавайских островах была создана широкополосная сеть передачи информации, построенная по требованиям широкополосной сети B-ISDN (Broadband Integrated Services Digital Network) в сочетании с технологиями АТМ и SONET/SDH. Эта сеть явилась прототипом нового этапа DISN. К концу 1998 г. сеть DISN ATM Service охватила 125 военных баз, в 1999‑м планировалось расширить ее до 200 объектов, но вместо этого было принято решение о переходе на интеллектуальную сеть. Ключевым моментом стало появление веб-технологий, и началась острая борьба между сторонниками «старой» технологии коммутации каналов и новой технологии коммутации пакетов.

В условиях технологической неопределенности было решено строить военные сети связи США с использованием «открытой архитектуры» и программно-аппаратных средств коммерческого назначения (Commercial-Off-the-Shelf). Выбор пал на «старые» разработки Bell Labs, точнее, на протокол телефонной сигнализации SS7 и на интеллектуальную сеть (Advanced Intelligent Network, AIN). Заметим, что к тому времени институт Bell Labs был давно уже ликвидирован, однако его разработки по сигнализации SS7 и интеллектуальной сети AIN живы по сей день.

Пользователями AIN могут быть как абоненты сети коммутации каналов, так и сети коммутации пакетов. Заметим, что интеллектуальная сеть имеет и транспортируемую часть (на рис. 1 слева внизу). Например, во время войны в Афганистане для обслуживания развернутых там войск самолетом привезли телефонную станцию с функциями SSP/Adjunct, оборудование интеллектуальной периферии и базу данных.

Наследие Bell Labs: SS7 и AIN

Cигнализация SS7 (Signaling System № 7, или ОКС‑7, общий канал сигнализации № 7) является, образно говоря, нервной системой сети связи. Это набор сигнальных телефонных протоколов, используемых для установления телефонных соединений по всему миру. Протоколы SS7 разрабатывались в Bell Labs начиная с 1975 г. и в 1981 г. были определены как стандарты МСЭ. Основная особенность SS7 состоит в том, что передача сообщений о требованиях по установлению телефонных соединений вынесена в отдельный сигнальный канал.

Простейшая схема сети SS7 включает три узла сигнализации: STP (Signaling Transfer Point), SSP (Service Switching Point) и SCP (Service Control Point), и каждая АТС имеет в своем составе пункт сигнализации SP (Signaling Point).

Интеллектуальная сеть IN – это сеть связи, позволяющая предоставлять дополнительные телекоммуникационные услуги, в том числе управляемые абонентом. На создание IN в Bell Labs ушло 25 лет. В 1982 г. была запущена в серию электронная АТС 5ESS, в которой реализованы принципы интеллектуальной сети и большой набор услуг (Capability Set 1). Важная роль отводится интеллектуальной периферии. В ее функции входит генерация тонов, распознавание голоса, сжатие речи и данных, распознавание набора номера и многое другое, включая тактические и стратегические сервисы по идентификации персонала. Википедия сообщает, что в разработке 5ESS приняли участие 5 тыс. сотрудников, было написано 100 млн строк программного кода.

Документация по IN/1 стала основой международного стандарта de facto. Корпорация Bellcore разработала ряд продуктов IN/1, IN/2, IN/1+ и, наконец, AIN, который и лег в основу DISN.

Современное состояние сети DISN

В 2011 г. компания Tekelec проводила тестирование сети SS7 в составе DISN. Соединения на этой оборонной сети устанавливаются при помощи сигнализации SS7, т.е. в «сердцевине» сети находится сеть SS7 в полном объеме, а на периферии используются различные устройства любого типа (рис. 2). В основном это IР-оборудование (телефоны для четырехпроводных каналов, VoIP или ISDN BRI, устройства видеоконференц­связи и т.д.), которое может подключаться по любым протоколам, включая нестандартные (proprietary).

Отсюда делаем важный вывод: наличие сети SS7 не препятствует переходу на IР-протокол, а скорее наоборот – облегчает переход на пакетную коммутацию, делает его постепенным.

Joint Vision 2020: переход на IP-протокол

С принятия в 1996 г. плана Joint Vision 2010 прошло всего четыре года, как лоббисты интернет-технологий убедили руководство Пентагона в необходимости обновления программы вооружений, и появился документ Joint Vision 2020. Что в нем нового? Цель осталась прежней: достичь полного доминирования США на поле боя в XXI веке. Для этого нужно построить глобальную информационную сеть GIG (Global Information Grid), которая обеспечит ведение сетецентрической войны, информационное превосходство, превосходство в принятии решений и в результате – полное доминирование на поле боя. В изданной в 2007 г. фундаментальной программе Global Information Grid. Architectural Vision указывалось, что сеть GIG должна быть построена на базе IP-протокола. Предполагалось, что IP-протокол станет единственным средством общения между транспортным уровнем и приложениями. Каждая платформа и каждый сенсор будут иметь свой IP-адрес и будут интегрированы в единую сеть с солдатом.

Базовые сети DISN

Основу DISN сегодня составляет коммутация каналов, точнее, стандарт SONET, по которому работают оптические кабели, а информация кодируется согласно телефонному стандарту TDM (Time Division Multiplexing). По этой сети коммутации каналов работают основные военные сети связи Пентагона:

  • телефонная сеть DSN (Defense Switched Network);
  • закрытая коммутируемая сеть правительственной связи DRSN (Defense Red Switched Network);
  • сеть видеоконференцсвязи DVS (DISN Video).
  • Кроме того, в состав DISN входят четыре закрытые сети, которые используют выделенные магистральные каналы:
  • объединенная глобальная сеть разведывательных коммуникаций JWICS (Joint Worldwide Intelligence Communications System) для передачи секретной информации по протоколам TCP/IP;
  • сеть управления спутниками AFSCN (Air Force Satellite Control Network);
  • NIPRNet (Non-classified Internet Protocol Router Network) – сеть для обмена несекретной, но важной служебной информацией между «внутренними» пользователями;
  • SIPRNet (Secret Internet Protocol Router Network) – система взаимосвязанных компьютерных сетей, используемых Министерством обороны США для передачи секретной информации по протоколам TCP/IP.

Отметим, что сети JWICS и AFSCN построены на базе коммутаторов АТМ (техника АТМ больше не производится).

 Перевод сети DISN на IР-протокол (рис. 3) – мероприятие чрезвычайно сложное и дорогое. Помимо перехода от TDM-кодирования на IР-пакеты предусмотрена и модернизация кабельной сети – переход от режима SONET/TDM к спектральному уплотнению каналов DWDM.

Шесть программ GIG

Высокоскоростную передачу информации в рамках GIG обеспечивают три основных компоненты:

  1. в наземном звене – глобальная опорная оптоволоконная сеть DISN-Core;
  2. в космическом звене – перспективная группировка космических аппаратов широкополосной спутниковой связи военного назначения, использующая в том числе межспутниковые каналы лазерной связи;
  3. сеть программируемых радиостанций (Software Defined Radio, SDR) для оперативной связи на земле.

 Проект GIG включает в себя шесть ключевых программ (рис. 4).

1. Наземный сегмент. В рамках этой программы построена глобальная система наземных ВОЛС (волоконно-оптических линий связи), получившая название DISN-Core. Ее строительство началось в 2004 г. c увеличения пропускной способности глобальной информационной сети. Суть работ состояла в установке устройств DWDM. На каждом узле сети была размещена аппаратура OC-192 (10 Гбит/с). Средствами DWDM был реализован принцип «каждой военной базе свой цвет». В настоящее время сеть обеспечивает поток данных со скоростью 10 Гбит/с между любыми базами НАТО. Конечная цель программы – довести пропускную способность DISN-Core до 100 Гбит/с.

2. Космический сегмент. Эта программа подразу­мевает строительство перспективной объединенной системы спутниковой связи, базовыми компонентами которой станут пять группировок космических аппаратов связи: АEHF (Advanced Extremely High Frequency); система узкополосной спутниковой связи MUOS (Mobile User Objective System) – наиболее массовая часть сегмента; WGS (Wideband Global Satcom) для вооруженных сил в зонах Тихого, Атлантического и Индийского океанов; система связи на полярных орбитах EPS (Enhanced Polar System). К 2030 г. возможно создание новой группировки спутников TSAT (Transformational Satellite), задуманной для широкополосной спутниковой связи с использованием межспутниковых каналов лазерной связи. Спутники TSAT – наиболее амбициозная часть космического сегмента GIG.

3. Система телепортов. Телепорт является телекоммуникационным пунктом сбора и распределения информации, который обеспечивает боевые подразделения широкополосным, мультимедийным и глобальным доступом к DISN. По замыслу разработчиков, эта система должна поддерживать связь между солдатом на поле боя, экипажем в боевой технике и командованием. Телепорты через космос соединяют наземные сети DSN, DRSN, NIPRNET, SIPRNET с пользователями в зоне боевых действий (рис. 5). Данная система будет осуществлять интеграцию и контроль множест­ва коммуникационных интерфейсов, обеспечивающих связь наземного сегмента DISN Пентагона с группировкой спутников связи. Телепорты приходят на смену прежним шлюзам STEP (Standard tactical entry point). Один телепорт заменяет 15 шлюзов STEP.

Сегодня имеется восемь крупных телепортов: в штатах Калифорния и Вирджиния, а также на Гавайях, в Италии, Германии, Бахрейне, Японии и на Филиппинах.

4. Тактический радиосегмент. Эта программа предполагает разработку широкополосных радиостанций нового поколения, структура и функциональные возможности которых реализуются с помощью программно настраиваемых компонентов. Выполнение этой программы затянулось, поскольку отвечающая за нее корпорация Boeing столкнулась с проблемами в области шифрования передаваемых данных, которое должно отвечать новым, повышенным требованиям АНБ США. В разрабатывавшихся ранее JTRS-системах (Joint Tactical Radio System) логика действий строилась на программах, недостаточно устойчивых к взлому.

5. Сетевые сервисы. Эта сложнейшая программа предусматривает разработку унифицированного комплекса сетевых сервисов корпоративного информационного обслуживания NCES (Net-Centric Enterprise Service). Комплекс предназначен для обеспечения любого пользователя GIG стандартным набором информационных услуг по своевременному и безопасному доступу к необходимой информации высокого качества. Новейшие требования кибервойны увеличивают сложность программы.

6. Информационная безопасность. Обеспечение информационной безопасности в GIG – ключевой элемент программы модернизации криптографических средств защиты CMP (Crypto Modernization Program), которая предполагает создание новых методов и способов засекречивания и защиты информационных ресурсов.

От сигнализации SS7 к АS-SIP

Переход на IР-протокол означает замену системы сигнализации SS7 протоколом SIP (Session Initiation Protocol). Заметим, что SIP-протокол еще недостаточно апробирован, особенно его защищенная версия AS-SIP, и это грозит сбоями сетей связи в будущем.

SIP-протокол описывает способ установления и завершения интернет-сеанса, включающего обмен мультимедийным контентом (видео- и аудиоконференции, мгновенные сообщения, онлайн-игры). В течение установленного сеанса допускается добавление или удаление каналов, а также подключение и отключение дополнительных клиентов (конференц-связь). SIP участвует только в сигнальной части сеанса связи. При передаче информации SIP используется наряду с протоколами SDP, RTP, SOAP, HTTP, XML, VXML, WSDL, UDDI и др.

Главные недостатки протокола SIP – трудности обеспечения секретности (в условиях кибервойны) и обслуживания приоритетных вызовов, что важно для военных применений и экстренных служб. Поэтому по заказу Минобороны США был разработан защищенный протокол AS-SIP. Он получился очень громоздким: если «обыкновенный» SIP использует 11 стандартов RFC, то в AS-SIP задействовано почти 200 стандартов RFC.

В основе протокола AS-SIP лежит стандарт RFС 4542, описывающий архитектуру многоуровневого прерывания и приоритетов (Multi-Level Preemption and Precedence, MLPP). При поступлении вызова более высокого приоритета вызов более низкого приоритета прерывается и переводится в состояние ожидания. Соединение восстанавливается после обслуживания приоритетного вызова. В соответствии с нуждами оборонного ведомства и экстренных служб предусмотрены вызовы шести классов (в порядке убывания приоритета):

  1. Вызовы наивысшего приоритета (Flash Override Override). Ими пользуются главнокомандующий, министр обороны, начальник Объединенного комитета начальников штабов, высшие командиры (в состоянии войны и/или по распоряжению президента).
  2. Вызовы Flash Override. Те же пользователи и по распоряженияю президента в случае войны и в чрезвычайных ситуациях.
  3. Вызовы Flash. Это телефонные звонки, относящиеся к командованию и контролю военных сил, к важным действиям разведки, для ведения дипломатических переговоров, гражданского оповещения о событиях, важных для национального выживания, выполнения федеральных государственных функций, обеспечения внутренней безопасности, сообщений о катастрофических событиях национального или международного значения.
  4. Срочные вызовы (Immediate). Вызовы, подобные Flash, но несколько менее важные.
  5. Приоритетные вызовы (Priority). Оперативные действия для проведения государственных операций.
  6. Обычные звонки (Routine).

Для предоставления связи с учетом класса приоритета в протоколе AS-SIP сформулированы четкие правила прерывания и ожидания прерванных разговоров.

Переход от сети коммутации каналов, где господствует протокол SS7, к коммутации пакетов и протоколу SIP (точнее, к AS-SIP) требует установки программных коммутаторов SoftSwitch, которые будут выполнять две важные функции: управлять согласованием протоколов сигнализации SIP и SS7 (посредством шлюза SGW) и преобразованием IP-пакетов в TDM-посылки (посредством шлюза MGW). В Министерстве обороны США разработаны детальные методические материалы по внедрению AS-SIP. Однако когда именно сеть DISN окончательно перейдет на протокол AS-SIP, предсказать трудно. 

О том, как сеть DISN трансформируется в инфраструктуру, способную поддерживать войну в киберпространстве, и с какими трудностями при этом сталкивается Пентагон, – в следующем номере «ИКС». 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!