Рубрикатор |
Статьи | ИКС № 07-08 2017 |
Манфред ШНЕПС-ШНЕППЕ  | 05 сентября 2017 |
Информационные сети Пентагона: готовясь к кибервойне
Телекоммуникации – яркий пример технологий двойного применения. В мирное время они входят в сферу ответственности сил гражданской обороны и должны обеспечивать мобилизационную готовность населения на случай чрезвычайных ситуаций. В военное же время системы связи могут перейти под полный контроль военного ведомства. Поэтому сети Пентагона нас и интересуют.
Американская техника связи для нужд военных проходила три этапа трансформации – от сигнализации SS7 и интеллектуальных сетей к IP-протоколу и, наконец, к чрезвычайно амбициозным планам киберзащиты сетей.
Joint Vision 2010: как интеллектуальная сеть стала основой DISN
Оборонная информационная сеть США DISN (Defense Information Systems Network) разрабатывалась с начала 1990-х гг. Назначение этой глобальной сети – предоставлять услуги передачи различных видов информации (речь, данные, видео, мультимедиа) для эффективного и защищенного управления войсками, связью, разведкой и радиоэлектронной борьбой (РЭБ).
В 1996 г. был утвержден план стратегического развития военных ведомств США на 15-летний период Joint Vision 2010. В ходе выполнения этого плана вскрылось множество недостатков DISN, прежде всего – низкий уровень интеграции входящих в нее многих сотен сетей, который существенно ограничивал взаимодействие в рамках единой сети и препятствовал эффективному управлению всеми ее ресурсами. В частности, отмечались сложности взаимодействия между стационарной и полевой (мобильной) компонентами базовой сети из-за различия в используемых стандартах, типах каналов связи (аналоговых и цифровых), предоставляемых услугах и пропускной способности (у мобильной компоненты она значительно ниже, чем у стационарной). Это затрудняло материальное обеспечение боевых сил, техническое обслуживание и подготовку специалистов.
Кроме того, используемые сетевые технологии не были достаточно масштабируемыми и не могли в должной мере предоставлять пропускную способность по требованию. Из-за отсутствия общей архитектуры и стандартов затруднялась передача данных в интересах разведки и РЭБ. Несовместимость оборудования усложняла применение различных средств засекречивания и криптозащиты. В целом базовая архитектура DISN была недостаточно гибкой и масштабируемой, особенно для мобильных сил, оперативно развертываемых в различных точках мира.
От ATM к AIN
Возник принципиальный вопрос: на базе какой технологии строить DISN далее? Еще в 1993–1994 гг. на Гавайских островах была создана широкополосная сеть передачи информации, построенная по требованиям широкополосной сети B-ISDN (Broadband Integrated Services Digital Network) в сочетании с технологиями АТМ и SONET/SDH. Эта сеть явилась прототипом нового этапа DISN. К концу 1998 г. сеть DISN ATM Service охватила 125 военных баз, в 1999‑м планировалось расширить ее до 200 объектов, но вместо этого было принято решение о переходе на интеллектуальную сеть. Ключевым моментом стало появление веб-технологий, и началась острая борьба между сторонниками «старой» технологии коммутации каналов и новой технологии коммутации пакетов.
В условиях технологической неопределенности было решено строить военные сети связи США с использованием «открытой архитектуры» и программно-аппаратных средств коммерческого назначения (Commercial-Off-the-Shelf). Выбор пал на «старые» разработки Bell Labs, точнее, на протокол телефонной сигнализации SS7 и на интеллектуальную сеть (Advanced Intelligent Network, AIN). Заметим, что к тому времени институт Bell Labs был давно уже ликвидирован, однако его разработки по сигнализации SS7 и интеллектуальной сети AIN живы по сей день.
Пользователями AIN могут быть как абоненты сети коммутации каналов, так и сети коммутации пакетов. Заметим, что интеллектуальная сеть имеет и транспортируемую часть (на рис. 1 слева внизу). Например, во время войны в Афганистане для обслуживания развернутых там войск самолетом привезли телефонную станцию с функциями SSP/Adjunct, оборудование интеллектуальной периферии и базу данных.
Наследие Bell Labs: SS7 и AIN
Cигнализация SS7 (Signaling System № 7, или ОКС‑7, общий канал сигнализации № 7) является, образно говоря, нервной системой сети связи. Это набор сигнальных телефонных протоколов, используемых для установления телефонных соединений по всему миру. Протоколы SS7 разрабатывались в Bell Labs начиная с 1975 г. и в 1981 г. были определены как стандарты МСЭ. Основная особенность SS7 состоит в том, что передача сообщений о требованиях по установлению телефонных соединений вынесена в отдельный сигнальный канал.
Простейшая схема сети SS7 включает три узла сигнализации: STP (Signaling Transfer Point), SSP (Service Switching Point) и SCP (Service Control Point), и каждая АТС имеет в своем составе пункт сигнализации SP (Signaling Point).
Интеллектуальная сеть IN – это сеть связи, позволяющая предоставлять дополнительные телекоммуникационные услуги, в том числе управляемые абонентом. На создание IN в Bell Labs ушло 25 лет. В 1982 г. была запущена в серию электронная АТС 5ESS, в которой реализованы принципы интеллектуальной сети и большой набор услуг (Capability Set 1). Важная роль отводится интеллектуальной периферии. В ее функции входит генерация тонов, распознавание голоса, сжатие речи и данных, распознавание набора номера и многое другое, включая тактические и стратегические сервисы по идентификации персонала. Википедия сообщает, что в разработке 5ESS приняли участие 5 тыс. сотрудников, было написано 100 млн строк программного кода.
Документация по IN/1 стала основой международного стандарта de facto. Корпорация Bellcore разработала ряд продуктов IN/1, IN/2, IN/1+ и, наконец, AIN, который и лег в основу DISN.
Современное состояние сети DISN
В 2011 г. компания Tekelec проводила тестирование сети SS7 в составе DISN. Соединения на этой оборонной сети устанавливаются при помощи сигнализации SS7, т.е. в «сердцевине» сети находится сеть SS7 в полном объеме, а на периферии используются различные устройства любого типа (рис. 2). В основном это IР-оборудование (телефоны для четырехпроводных каналов, VoIP или ISDN BRI, устройства видеоконференцсвязи и т.д.), которое может подключаться по любым протоколам, включая нестандартные (proprietary).
Отсюда делаем важный вывод: наличие сети SS7 не препятствует переходу на IР-протокол, а скорее наоборот – облегчает переход на пакетную коммутацию, делает его постепенным.
Joint Vision 2020: переход на IP-протокол
С принятия в 1996 г. плана Joint Vision 2010 прошло всего четыре года, как лоббисты интернет-технологий убедили руководство Пентагона в необходимости обновления программы вооружений, и появился документ Joint Vision 2020. Что в нем нового? Цель осталась прежней: достичь полного доминирования США на поле боя в XXI веке. Для этого нужно построить глобальную информационную сеть GIG (Global Information Grid), которая обеспечит ведение сетецентрической войны, информационное превосходство, превосходство в принятии решений и в результате – полное доминирование на поле боя. В изданной в 2007 г. фундаментальной программе Global Information Grid. Architectural Vision указывалось, что сеть GIG должна быть построена на базе IP-протокола. Предполагалось, что IP-протокол станет единственным средством общения между транспортным уровнем и приложениями. Каждая платформа и каждый сенсор будут иметь свой IP-адрес и будут интегрированы в единую сеть с солдатом.
Базовые сети DISN
Основу DISN сегодня составляет коммутация каналов, точнее, стандарт SONET, по которому работают оптические кабели, а информация кодируется согласно телефонному стандарту TDM (Time Division Multiplexing). По этой сети коммутации каналов работают основные военные сети связи Пентагона:
- телефонная сеть DSN (Defense Switched Network);
- закрытая коммутируемая сеть правительственной связи DRSN (Defense Red Switched Network);
- сеть видеоконференцсвязи DVS (DISN Video).
- Кроме того, в состав DISN входят четыре закрытые сети, которые используют выделенные магистральные каналы:
- объединенная глобальная сеть разведывательных коммуникаций JWICS (Joint Worldwide Intelligence Communications System) для передачи секретной информации по протоколам TCP/IP;
- сеть управления спутниками AFSCN (Air Force Satellite Control Network);
- NIPRNet (Non-classified Internet Protocol Router Network) – сеть для обмена несекретной, но важной служебной информацией между «внутренними» пользователями;
- SIPRNet (Secret Internet Protocol Router Network) – система взаимосвязанных компьютерных сетей, используемых Министерством обороны США для передачи секретной информации по протоколам TCP/IP.
Отметим, что сети JWICS и AFSCN построены на базе коммутаторов АТМ (техника АТМ больше не производится).
Перевод сети DISN на IР-протокол (рис. 3) – мероприятие чрезвычайно сложное и дорогое. Помимо перехода от TDM-кодирования на IР-пакеты предусмотрена и модернизация кабельной сети – переход от режима SONET/TDM к спектральному уплотнению каналов DWDM.
Шесть программ GIG
Высокоскоростную передачу информации в рамках GIG обеспечивают три основных компоненты:
- в наземном звене – глобальная опорная оптоволоконная сеть DISN-Core;
- в космическом звене – перспективная группировка космических аппаратов широкополосной спутниковой связи военного назначения, использующая в том числе межспутниковые каналы лазерной связи;
- сеть программируемых радиостанций (Software Defined Radio, SDR) для оперативной связи на земле.
Проект GIG включает в себя шесть ключевых программ (рис. 4).
1. Наземный сегмент. В рамках этой программы построена глобальная система наземных ВОЛС (волоконно-оптических линий связи), получившая название DISN-Core. Ее строительство началось в 2004 г. c увеличения пропускной способности глобальной информационной сети. Суть работ состояла в установке устройств DWDM. На каждом узле сети была размещена аппаратура OC-192 (10 Гбит/с). Средствами DWDM был реализован принцип «каждой военной базе свой цвет». В настоящее время сеть обеспечивает поток данных со скоростью 10 Гбит/с между любыми базами НАТО. Конечная цель программы – довести пропускную способность DISN-Core до 100 Гбит/с.
2. Космический сегмент. Эта программа подразумевает строительство перспективной объединенной системы спутниковой связи, базовыми компонентами которой станут пять группировок космических аппаратов связи: АEHF (Advanced Extremely High Frequency); система узкополосной спутниковой связи MUOS (Mobile User Objective System) – наиболее массовая часть сегмента; WGS (Wideband Global Satcom) для вооруженных сил в зонах Тихого, Атлантического и Индийского океанов; система связи на полярных орбитах EPS (Enhanced Polar System). К 2030 г. возможно создание новой группировки спутников TSAT (Transformational Satellite), задуманной для широкополосной спутниковой связи с использованием межспутниковых каналов лазерной связи. Спутники TSAT – наиболее амбициозная часть космического сегмента GIG.
3. Система телепортов. Телепорт является телекоммуникационным пунктом сбора и распределения информации, который обеспечивает боевые подразделения широкополосным, мультимедийным и глобальным доступом к DISN. По замыслу разработчиков, эта система должна поддерживать связь между солдатом на поле боя, экипажем в боевой технике и командованием. Телепорты через космос соединяют наземные сети DSN, DRSN, NIPRNET, SIPRNET с пользователями в зоне боевых действий (рис. 5). Данная система будет осуществлять интеграцию и контроль множества коммуникационных интерфейсов, обеспечивающих связь наземного сегмента DISN Пентагона с группировкой спутников связи. Телепорты приходят на смену прежним шлюзам STEP (Standard tactical entry point). Один телепорт заменяет 15 шлюзов STEP.
Сегодня имеется восемь крупных телепортов: в штатах Калифорния и Вирджиния, а также на Гавайях, в Италии, Германии, Бахрейне, Японии и на Филиппинах.
4. Тактический радиосегмент. Эта программа предполагает разработку широкополосных радиостанций нового поколения, структура и функциональные возможности которых реализуются с помощью программно настраиваемых компонентов. Выполнение этой программы затянулось, поскольку отвечающая за нее корпорация Boeing столкнулась с проблемами в области шифрования передаваемых данных, которое должно отвечать новым, повышенным требованиям АНБ США. В разрабатывавшихся ранее JTRS-системах (Joint Tactical Radio System) логика действий строилась на программах, недостаточно устойчивых к взлому.
5. Сетевые сервисы. Эта сложнейшая программа предусматривает разработку унифицированного комплекса сетевых сервисов корпоративного информационного обслуживания NCES (Net-Centric Enterprise Service). Комплекс предназначен для обеспечения любого пользователя GIG стандартным набором информационных услуг по своевременному и безопасному доступу к необходимой информации высокого качества. Новейшие требования кибервойны увеличивают сложность программы.
6. Информационная безопасность. Обеспечение информационной безопасности в GIG – ключевой элемент программы модернизации криптографических средств защиты CMP (Crypto Modernization Program), которая предполагает создание новых методов и способов засекречивания и защиты информационных ресурсов.
От сигнализации SS7 к АS-SIP
Переход на IР-протокол означает замену системы сигнализации SS7 протоколом SIP (Session Initiation Protocol). Заметим, что SIP-протокол еще недостаточно апробирован, особенно его защищенная версия AS-SIP, и это грозит сбоями сетей связи в будущем.
SIP-протокол описывает способ установления и завершения интернет-сеанса, включающего обмен мультимедийным контентом (видео- и аудиоконференции, мгновенные сообщения, онлайн-игры). В течение установленного сеанса допускается добавление или удаление каналов, а также подключение и отключение дополнительных клиентов (конференц-связь). SIP участвует только в сигнальной части сеанса связи. При передаче информации SIP используется наряду с протоколами SDP, RTP, SOAP, HTTP, XML, VXML, WSDL, UDDI и др.
Главные недостатки протокола SIP – трудности обеспечения секретности (в условиях кибервойны) и обслуживания приоритетных вызовов, что важно для военных применений и экстренных служб. Поэтому по заказу Минобороны США был разработан защищенный протокол AS-SIP. Он получился очень громоздким: если «обыкновенный» SIP использует 11 стандартов RFC, то в AS-SIP задействовано почти 200 стандартов RFC.
В основе протокола AS-SIP лежит стандарт RFС 4542, описывающий архитектуру многоуровневого прерывания и приоритетов (Multi-Level Preemption and Precedence, MLPP). При поступлении вызова более высокого приоритета вызов более низкого приоритета прерывается и переводится в состояние ожидания. Соединение восстанавливается после обслуживания приоритетного вызова. В соответствии с нуждами оборонного ведомства и экстренных служб предусмотрены вызовы шести классов (в порядке убывания приоритета):
- Вызовы наивысшего приоритета (Flash Override Override). Ими пользуются главнокомандующий, министр обороны, начальник Объединенного комитета начальников штабов, высшие командиры (в состоянии войны и/или по распоряжению президента).
- Вызовы Flash Override. Те же пользователи и по распоряженияю президента в случае войны и в чрезвычайных ситуациях.
- Вызовы Flash. Это телефонные звонки, относящиеся к командованию и контролю военных сил, к важным действиям разведки, для ведения дипломатических переговоров, гражданского оповещения о событиях, важных для национального выживания, выполнения федеральных государственных функций, обеспечения внутренней безопасности, сообщений о катастрофических событиях национального или международного значения.
- Срочные вызовы (Immediate). Вызовы, подобные Flash, но несколько менее важные.
- Приоритетные вызовы (Priority). Оперативные действия для проведения государственных операций.
- Обычные звонки (Routine).
Для предоставления связи с учетом класса приоритета в протоколе AS-SIP сформулированы четкие правила прерывания и ожидания прерванных разговоров.
Переход от сети коммутации каналов, где господствует протокол SS7, к коммутации пакетов и протоколу SIP (точнее, к AS-SIP) требует установки программных коммутаторов SoftSwitch, которые будут выполнять две важные функции: управлять согласованием протоколов сигнализации SIP и SS7 (посредством шлюза SGW) и преобразованием IP-пакетов в TDM-посылки (посредством шлюза MGW). В Министерстве обороны США разработаны детальные методические материалы по внедрению AS-SIP. Однако когда именно сеть DISN окончательно перейдет на протокол AS-SIP, предсказать трудно.
О том, как сеть DISN трансформируется в инфраструктуру, способную поддерживать войну в киберпространстве, и с какими трудностями при этом сталкивается Пентагон, – в следующем номере «ИКС».