UKRAINIAN TACTICAL MESH CLOUD (UTMC)

Архітектура тактичної mesh-мережі з нульовою довірою

Версія: 1.0
Дата: 24 грудня 2025
Автор: Олег (Проект MYTEC)
Статус: Proof of Concept → Production Ready

🎯 Виконавче резюме

Ukrainian Tactical Mesh Cloud (UTMC) — це стійка до відмов архітектура мережі з нульовою довірою, розроблена для військових тактичних підрозділів, які діють в умовах активних бойових дій. Система забезпечує захищені комунікації та доступ до сервісів через будь-яке доступне інтернет-з’єднання (включаючи недовірені мережі), зберігаючи операційну безперервність навіть при деградації інфраструктури.

Основний принцип: “Нульова довіра на транспорті, повна довіра в mesh”

Архітектура поєднує WireGuard VPN mesh-мережу, mTLS-автентифікацію та розподілену реплікацію сервісів для створення самовідновлювальної тактичної хмари, яка працює незалежно від будь-якого окремого провайдера інфраструктури.

📋 Зміст

  1. Огляд архітектури
  2. Принципи проектування
  3. Топологія мережі
  4. Модель безпеки
  5. Сценарії роботи
  6. Переваги та недоліки
  7. Порівняння зі стандартами НАТО
  8. Майбутній розвиток

🏗️ Огляд архітектури

Трирівнева модель

┌─────────────────────────────────────────────────────────┐
│ Рівень 1: VPS Backbone (Постійно доступні хаби)         │
│ - Глобальні VPS вузли в декількох країнах               │
│ - Централізована маршрутизація, DNS, моніторинг         │
│ - Географічна надмірність (ЄС, Україна, США тощо)      │
└─────────────────────┬───────────────────────────────────┘
                      │ WireGuard Mesh
┌─────────────────────▼───────────────────────────────────┐
│ Рівень 2: Сервери СОТ (Edge Computing вузли)            │
│ - Інфраструктура тактичного підрозділу                  │
│   (MikroTik + Mini PC)                                  │
│ - Локальні репліки сервісів (Nextcloud, MQTT тощо)     │
│ - Множинні канали зв'язку (Starlink, LTE, радіо)       │
│ - Резервне живлення, захищене розгортання               │
└─────────────────────┬───────────────────────────────────┘
                      │ WireGuard клієнтські з'єднання
┌─────────────────────▼───────────────────────────────────┐
│ Рівень 3: Клієнти (Пристрої кінцевих користувачів)     │
│ - Пристрої військових (смартфони, планшети, ноутбуки)  │
│ - IoT сенсори (LoRa шлюзи, датчики середовища)         │
│ - Тактичні застосунки (карти, комунікації, калькулятори)│
└─────────────────────────────────────────────────────────┘

Схема адресації мережі

10.10.0.0/16 - Повний простір mesh-мережі

Рівень 1 (VPS хаби):
├── 10.10.0.0/24   - VPS ЄС (Основний хаб)
├── 10.10.1.0/24   - VPS Україна (Резервний хаб)
├── 10.10.2.0/24   - VPS США (Географічно розподілений)
└── 10.10.3.0/24   - VPS Польща (Edge)

Рівень 2 (Сервери СОТ):
├── 10.10.10.0/24  - СОТ А (Донецький регіон)
├── 10.10.11.0/24  - СОТ Б (Харківський регіон)
├── 10.10.12.0/24  - СОТ В (Запорізький регіон)
└── 10.10.X.0/24   - Додаткові СОТи (масштабується до 255)

Рівень 3 (Клієнти):
└── Динамічний DHCP всередині кожної підмережі СОТ
    Приклад: 10.10.10.50-250 (клієнти СОТ А)

🎨 Принципи проектування

1. Нульова довіра на транспорті

Принцип: Ніколи не довіряти базовій мережевій інфраструктурі.

Реалізація:

  • Весь трафік шифрується через WireGuard (ChaCha20-Poly1305)
  • Публічний інтернет, захоплені мережі, ворожа інфраструктура трактуються як ворожі
  • Немає залежності від безпеки транспортного рівня (лише TLS недостатньо)
  • Наскрізне шифрування від клієнтського пристрою до сервісу

Обґрунтування:
Військові підрозділи можуть працювати з:

  • Цивільних WiFi точок доступу (скомпрометовані)
  • Захопленої ворожої LTE інфраструктури
  • Starlink (вразливий до глушіння/перехоплення)
  • Публічних інтернет-кафе

Жодному з цих джерел не можна довіряти. Тому весь транспорт шифрується незалежно від джерела.

2. Повна довіра всередині mesh

Принцип: Після автентифікації в mesh, пристрої працюють у довіреному середовищі.

Реалізація:

  • Автентифікація за публічним ключем WireGuard (криптографічна ідентичність)
  • Опціональні mTLS сертифікати для чутливих сервісів
  • Сегментація мережі за СОТами (10.10.X.0/24)
  • Автентифікація на рівні сервісу (паролі Nextcloud, SSO)

Обґрунтування:
Mesh-мережа (10.10.0.0/16) містить лише авторизовані пристрої з дійсними криптографічними ключами. Пристрої всередині mesh можуть вільно комунікувати, але доступ до конкретних сервісів вимагає додаткових рівнів автентифікації.

3. Будь-який інтернет — хороший інтернет

Принцип: Система повинна функціонувати через будь-яке доступне з’єднання.

Підтримувані транспорти:

  • Супутниковий Starlink
  • Комерційний LTE (будь-який провайдер, включно з ворожим)
  • Fiber/DSL (коли доступно)
  • Публічні WiFi точки доступу
  • Радіо mesh-лінки (point-to-point, без інтернету)
  • Телефони з роздачею інтернету

Реалізація:
WireGuard працює через UDP, вимагаючи лише:

  • Вихідну UDP-підключеність на будь-якому порті (за замовчуванням 51820, налаштовується на 443/53)
  • Мінімальну пропускну здатність ~50 кбіт/с
  • NAT traversal (автоматично через keepalive пакети)

4. Автоматичне перемикання та самовідновлення

Принцип: Мережа повинна адаптуватися до втрати інфраструктури без ручного втручання.

Механізми:

  • Множинні WireGuard peers на пристрій (основний + резервні маршрути)
  • Метрики маршрутизації ядра Linux (автоматичний вибір найкращого шляху)
  • Протоколи динамічної маршрутизації (OSPF/BGP для розширених розгортань)
  • Постійні keepalive пакети (виявлення відмов peers)

Приклад ланцюга перемикання:

Основний:   СОТ  VPS через Starlink (метрика 10)
Резерв 1:   СОТ  VPS через LTE (метрика 20)
Резерв 2:   СОТ  Сусідня СОТ  VPS через їхній uplink (метрика 30)
Offline:    СОТ  Локальні репліки сервісів (інтернет не потрібен)

5. Overlay-first архітектура

Принцип: Доступ до сервісів через VPN IP, ніколи через публічні IP.

Розв’язання DNS:

Користувач запитує: cloud.nxcl.club
DNS розв'язує в: 10.10.10.1 (VPN IP, не публічний IP)
Трафік маршрутизується через: WireGuard mesh (зашифрований)

Переваги:

  • Розташування сервісу прозоре для користувачів
  • Сервіси можуть мігрувати між хостами без змін DNS
  • Публічні IP ніколи не розкриваються (додатковий рівень безпеки)
  • Працює однаково незалежно від того, чи користувач на місці чи віддалено

6. Глибинний захист

Рівні безпеки:

Рівень 1: WireGuard VPN (обов'язково)
Рівень 2: mTLS сертифікати (опціонально, для чутливих сервісів)
Рівень 3: Автентифікація сервісу (паролі Nextcloud, SSO)
Рівень 4: Шифрування рівня застосунку (Matrix E2E, шифрування файлів)
Рівень 5: Сегментація мережі (правила firewall між СОТами)

Сценарії компрометації:

  • Ключ VPN викрадено → mTLS все ще потрібен
  • Сертифікат mTLS викрадено → Пароль сервісу все ще потрібен
  • Всі облікові дані викрадено → Шифрування E2E на рівні застосунку захищає дані
  • Одна СОТ скомпрометована → Сегментація обмежує латеральний рух

🌐 Топологія мережі

Hub-and-Spoke з mesh fallback

                    ┌──────────┐
                    │  VPS ЄС  │ (Основний хаб)
                    │10.10.0.1 │
                    └────┬─────┘
                         │
        ┌────────────────┼────────────────┐
        │                │                │
   ┌────▼─────┐    ┌────▼─────┐    ┌────▼─────┐
   │  VPS UA  │    │  VPS США │    │  VPS PL  │
   │10.10.1.1 │    │10.10.2.1 │    │10.10.3.1 │
   └────┬─────┘    └────┬─────┘    └────┬─────┘
        │                │                │
        └────────────────┼────────────────┘
                         │
        ┌────────────────┼────────────────┐
        │                │                │
   ┌────▼──────┐   ┌────▼──────┐   ┌────▼──────┐
   │   СОТ А   │   │   СОТ Б   │   │   СОТ В   │
   │10.10.10.1 │───│10.10.11.1 │───│10.10.12.1 │
   └───────────┘   └───────────┘   └───────────┘
        │                │                │
    Mesh резерв (Радіо/WiFi лінки)

Нормальна робота:

  • СОТи підключаються до VPS хабів через інтернет-uplink’и
  • VPS надає маршрутизацію, DNS, централізовані сервіси

Деградована робота:

  • VPS недоступний → СОТи з’єднуються напряму через радіолінки
  • Трафік маршрутизується через сусідні СОТи для досягнення інтернету
  • Локальні репліки сервісів продовжують функціонувати offline

Повний mesh (розширений)

     VPS ЄС ─────── VPS UA
       │  ╲       ╱   │
       │   ╲     ╱    │
       │    СОТ Б     │
       │   ╱     ╲    │
       │  ╱       ╲   │
     СОТ А ─────── СОТ В

Конфігурація:
Кожен вузол є peer з кожним іншим вузлом.

Переваги:

  • Максимальна надмірність (немає єдиної точки відмови)
  • Найкоротші шляхи (прямий peer-to-peer)
  • Найшвидше перемикання (негайні альтернативні маршрути)

Недоліки:

  • Складність конфігурації (N×(N-1)/2 peer-відношення)
  • Вище використання ресурсів (більше тунелів, записів в таблиці маршрутизації)
  • Обмеження масштабованості (~20-30 вузлів практично)

Найкраще для:

  • Критичні командні підрозділи (штаб бригади, координація артилерії)
  • Малі мережі високої цінності, що вимагають максимальної стійкості

🔒 Модель безпеки

Модель загроз

Можливості супротивника:

  • Deep Packet Inspection (DPI) на транспортних мережах
  • Man-in-the-Middle (MITM) атаки на публічному WiFi
  • Перехоплення DNS, ARP spoofing
  • Аналіз трафіку (час, обсяг, патерни)
  • Фізичне захоплення пристроїв
  • Інсайдерські загрози (скомпрометований персонал)

Активи для захисту:

  • Зміст комунікацій (повідомлення, файли, команди)
  • Метадані (хто з ким спілкується, коли)
  • Доступність сервісу (забезпечення uptime під час атак)
  • Криптографічні ключі (запобігання несанкціонованому доступу)

Криптографічна основа

Протокол WireGuard:

Шифрування: ChaCha20-Poly1305 (AEAD шифр)
Обмін ключами: Noise_IK (на основі Curve25519)
Автентифікація: Хеш-функція BLAKE2s
Perfect Forward Secrecy: Так (ефемерні ключі)

Управління ключами:

Кожен пристрій генерує:
├── Приватний ключ (ніколи не передається, зберігається безпечно)
└── Публічний ключ (розповсюджується серед peers)

VPS Хаб знає:
├── Власний приватний ключ
└── Публічні ключі всіх авторизованих peers

Peer-відношення автентифіковані через:
├── Прив'язку публічного ключа (жорстко закодовано в конфігах)
└── Попередньо спільні ключі (опціональний додатковий рівень)

Інфраструктура сертифікатів (mTLS):

Root CA:
├── Самопідписаний центр сертифікації (NXCL Root CA)
├── ca.key (зберігається offline, air-gapped)
└── ca.crt (розповсюджується всім клієнтам)

Клієнтські сертифікати:
├── Генеруються на пристрій (mytec-ipad.p12, mytec-windows.p12)
├── Підписані Root CA
├── Термін дії 825 днів (поновлюється)
└── Список відкликання (для скомпрометованих пристроїв)

Стійкість до атак

1. Стійкість до аналізу трафіку

Навіть якщо супротивник моніторить весь трафік, він не може визначити:

  • Сервіси призначення (DNS розв’язується у VPN IP, не видимий)
  • Патерни комунікації (весь трафік виглядає як UDP до VPS)
  • Зміст payload (зашифрований через WireGuard)

Контрзаходи:

- Формування трафіку з постійною швидкістю (приховує патерни використання)
- Генерація фіктивного трафіку (фальшиві Netflix/YouTube запити)
- Багатохопова маршрутизація (СОТ → VPS ЄС → VPS UA → Сервіс)
- Обфускація порту (WireGuard на 443/53, виглядає як HTTPS/DNS)

2. Стійкість до MITM атак

Прив’язка публічного ключа WireGuard запобігає підробці:

Спроби супротивника:
1. Перехоплення DNS: cloud.nxcl.club → evil.server.com
   → Заблоковано: WireGuard endpoint жорстко закодований на 2.56.207.143:51820

2. ARP spoofing: Маршрутизувати трафік через супротивника
   → Заблоковано: WireGuard автентифікує peer через публічний ключ

3. Підроблений VPS: Налаштувати фальшивий сервер на 2.56.207.143
   → Заблоковано: Handshake не вдається (неправильний публічний ключ)

3. Стійкість до DDoS

VPS хаби можуть бути цілями атак відмови в обслуговуванні.

Пом’якшення:

- Множинні VPS хаби (автоматичне перемикання на резервні)
- Cloudflare/DDoS захист для VPS (опціонально)
- Mesh fallback СОТ-до-СОТ (обходить VPS повністю)
- Локальні репліки сервісів (продовжують працювати offline)

4. Фізичне захоплення пристрою

Якщо пристрій захоплено, атакуючий отримує:

  • Приватний ключ WireGuard (може видавати себе за пристрій)
  • Клієнтський сертифікат mTLS (може отримати доступ до сервісів як цей пристрій)

Пом’якшення:

- Негайне відкликання ключа (видалити peer з усіх конфігів)
- Список відкликання сертифікатів (блокувати mTLS cert)
- Шифрування диска (LUKS, BitLocker) запобігає вилученню ключа
- TPM/Secure Enclave (апаратне зберігання ключів)
- Короткі терміни облікових даних (примусове періодичне перегенерування ключів)

🎬 Сценарії роботи

Сценарій 1: Нормальна робота

Налаштування:

  • Всі VPS хаби онлайн
  • Всі СОТи мають інтернет (Starlink/LTE)
  • Клієнти розподілені серед кількох СОТ

Потік трафіку:

Військовий (10.10.10.50) запитує cloud.nxcl.club
  ↓
DNS запит до 10.10.0.1 (VPS DNS)
  ↓
Розв'язується в 10.10.10.235 (СОТ А Nextcloud)
  ↓
Маршрутизація: 10.10.10.235 через wg0 (локальна СОТ)
  ↓
Затримка: ~5-10мс (швидкість LAN)
  ↓
Успіх ✅

Характеристики:

  • Найнижча затримка (сервіси на локальному сервері СОТ)
  • Найвища пропускна здатність (немає вузького місця інтернету)
  • Максимальна приватність (трафік ніколи не залишає VPN)

Сценарій 2: Відмова VPS хабу

Налаштування:

  • VPS ЄС під DDoS / offline
  • VPS UA резервний доступний
  • СОТи автоматично перемикаються

Потік трафіку:

Військовий запитує cloud.nxcl.club
  ↓
Основний DNS (10.10.0.1) timeout
  ↓
Резервний DNS (10.10.1.1) VPS UA ✅
  ↓
Розв'язується в 10.10.10.235
  ↓
Маршрутизація через VPS UA (метрика 20)
  ↓
Затримка: +50мс (географічна відстань)
  ↓
Успіх ✅

Час відновлення: < 30 секунд (автоматично)

Сценарій 3: СОТ втрачає інтернет

Налаштування:

  • СОТ Г втрачає Starlink (заглушено/знищено)
  • LTE також недоступний
  • Радіо mesh до СОТ В працює

Потік трафіку:

Військовий (10.10.14.25) запитує cloud.nxcl.club
  ↓
DNS закешований локально (10.10.10.235)
  ↓
Таблиця маршрутизації:
  - Через VPS (метрика 10) → timeout ❌
  - Через СОТ В mesh (метрика 20) → успіх ✅
  ↓
Пакет до СОТ В (192.168.100.1) через радіо
  ↓
СОТ В пересилає до VPS через свій Fiber
  ↓
VPS маршрутизує до СОТ А Nextcloud
  ↓
Відповідь тим самим шляхом
  ↓
Затримка: +200мс (радіо хоп + маршрутизація)
  ↓
Успіх ✅

Деградація:

  • Повільніше (обмеження пропускної здатності радіо)
  • Вища затримка (багатохопова)
  • АЛЕ ВСЕ ОДНО ФУНКЦІОНУЄ!

Сценарій 4: Повне відключення інтернету

Налаштування:

  • Всі VPS хаби недосяжні (підводний кабель перерізано)
  • СОТи ізольовані в Україні
  • Mesh між СОТами працює

Потік трафіку:

Військовий запитує cloud.nxcl.club
  ↓
DNS не вдається (VPS недосяжний)
  ↓
Fallback до локальних сервісів СОТ:
  - Nextcloud репліка (10.10.10.235)
  - Offline карти (10.10.11.50)
  - MQTT сенсори (10.10.10.235:1883)
  ↓
Сервіси синхронізуються коли інтернет повертається
  ↓
Успіх (деградований режим) ⚠️

Обмеження:

  • Немає зовнішнього доступу до інтернету
  • Немає нових оновлень програмного забезпечення
  • Email/зовнішні комунікації недоступні

Все ще функціонує:

  • Внутрішній обмін файлами (Nextcloud)
  • Міжсотовий обмін повідомленнями (федерований Matrix)
  • IoT сенсори (локальний MQTT брокер)
  • Тактичні застосунки (offline карти, калькулятори)

Сценарій 5: Робота на ворожій території

Налаштування:

  • СОТ Д глибоко за лінією фронту
  • Єдиний доступний інтернет: захоплений WiFi “FSB_Guest_Network”
  • Ворожий DPI моніторить весь трафік

Заходи безпеки:

1. WireGuard трафік зашифрований (ChaCha20)
    ФСБ бачить: UDP пакети до 2.56.207.143:51820
    ФСБ не може розшифрувати payload

2. Обфускація увімкнена (опціонально)
    Трафік виглядає як випадковий шум
    Немає видимих сигнатур WireGuard

3. Domain fronting (опціонально)
    Endpoint виглядає як cloudflare.com
    Фактичне призначення: VPS хаб

4. Заповнення трафіку
    Передача з постійною швидкістю (приховує патерни використання)
    Змішаний фіктивний трафік до Netflix/YouTube

Можливості супротивника:

ФСБ може:
✅ Блокувати порт 51820 (обхід: використати порт 443/53)
✅ Блокувати VPS IP (обхід: множинні VPS endpoints)
✅ Аналіз трафіку (обхід: заповнення, фіктивний трафік)

ФСБ не може:
❌ Розшифрувати WireGuard трафік (військове криптошифрування)
❌ Визначити сервіси призначення (DNS всередині VPN)
❌ Ін'єктувати/модифікувати пакети (автентифікація запобігає MITM)

⚖️ Переваги та недоліки

✅ Переваги

1. Незалежність від інфраструктури

  • Працює через будь-який інтернет: WiFi, LTE, Starlink, Fiber, dial-up
  • Немає залежності від одного ISP: Багатопідключення через провайдерів
  • Працює у ворожому середовищі: Ворожа інфраструктура придатна до використання

2. Стійкість та доступність

  • Немає єдиної точки відмови: Множинні VPS хаби, mesh fallback
  • Автоматичне перемикання: < 30 секунд відновлення від збоїв
  • Offline функціональність: Локальні репліки сервісів продовжують працювати
  • Самовідновлення: Маршрутизація адаптується до змін топології

3. Безпека та приватність

  • Наскрізне шифрування: WireGuard + опціональний mTLS
  • Модель нульової довіри: Транспорт ніколи не є довіреним, завжди перевіряється
  • Глибинний захист: Множинні рівні автентифікації
  • Стійкість до аналізу трафіку: Зашифровані метадані, обфускація

4. Масштабованість та гнучкість

  • Горизонтальне масштабування: Додавання нових СОТ без реконфігурації існуючих
  • Розподіл сервісів: Реплікація сервісів географічно
  • Технологічно агностичний: Працює з будь-яким апаратним/програмним стеком
  • Низька вартість: VPS ~$10-20/міс, сервер СОТ ~$300-800 одноразово

5. Операційна простота

  • Прозорість для користувачів: Доступ до сервісів через домени (cloud.nxcl.club)
  • Автоматична маршрутизація: Немає ручної конфігурації під час збоїв
  • Централізоване управління: VPS хаб контролює DNS, моніторинг
  • Стандартні інструменти: WireGuard, Docker, Caddy (широко підтримуються)

6. НАТО-сумісна архітектура

  • Відповідає FMN: Принципи Federated Mission Network
  • Сумісна з нульовою довірою: NIST SP 800-207, DoD ZT Reference
  • Інтероперабельна: Може підключатися до союзницьких мереж через VPN шлюзи
  • На основі стандартів: Немає пропрієтарних протоколів

❌ Недоліки

1. Складність та потреба в експертизі

  • Крута початкова крива навчання: Вимагає знань мережевих технологій, VPN, Linux
  • Тягар обслуговування: Оновлення, моніторинг, усунення несправностей
  • Управління ключами: Безпечна генерація, розповсюдження, ротація
  • Не під ключ: Вимагає кваліфікованих операторів (DevOps/SecDevOps)

Пом’якшення:

  • Детальна документація, програми навчання
  • Скрипти автоматизації (Ansible, Terraform)
  • Варіант керованого сервісу (зовнішній підрядник)

2. Overhead продуктивності

Затримка:

Прямий інтернет:        ~20-50мс
Через VPS хаб:         ~50-100мс
Через багатохоповий mesh: ~200-500мс

Пропускна здатність:

WireGuard overhead:    ~80 байт на пакет (мінімально)
Вартість шифрування CPU: ~1-5% (сучасні CPU мають AES-NI)
Множинні хопи:         Bandwidth = min(всі_лінки)

Пом’якшення:

  • Локальні репліки сервісів (зменшують round-trip до VPS)
  • Quality of Service (QoS) для критичного трафіку
  • Апаратне прискорення (AES-NI, SIMD інструкції)

3. Ризик одного постачальника (VPS провайдери)

Хоча система використовує множинних VPS провайдерів для надмірності, всі вони комерційні організації, які можуть:

  • Бути змушені закритися урядами
  • Зазнати одночасних збоїв (перерізання підводних кабелів)
  • Бути скомпрометовані супротивниками державного рівня

Пом’якшення:

  • Географічний розподіл (ЄС, UA, США, Азія)
  • Диверсифікація провайдерів (Hetzner, DigitalOcean, OVH тощо)
  • Self-hosted fallback (mesh СОТ-до-СОТ обходить VPS)
  • Інтеграція Tor/I2P (експериментально, для екстремальної цензури)

4. Вплив компрометації ключа

Якщо приватний ключ WireGuard викрадено:

  • Атакуючий може видавати себе за цей пристрій
  • Отримати доступ до всіх сервісів, до яких міг отримати доступ пристрій
  • Потенційно перейти до інших mesh вузлів

Пом’якшення:

  • Короткі терміни життя ключів (ротація кожні 90 днів)
  • Апаратне зберігання ключів (TPM, Secure Enclave)
  • Списки відкликання сертифікатів (блокування скомпрометованих пристроїв)
  • Сегментація мережі (обмеження радіусу вибуху)
  • Виявлення вторгнень (виявлення аномалій у mesh трафіку)

5. Обмеження пропускної здатності

Радіо mesh лінки (WiFi, LoRa) значно повільніші ніж fiber/Starlink:

Starlink:       50-200 Мбіт/с 
LTE:            10-100 Мбіт/с 
WiFi mesh:      10-50 Мбіт/с ⚠️
LoRa:           0.3-50 кбіт/с  (лише для низькопропускних сенсорів)

Пом’якшення:

  • Пріоритизація QoS (голос/команди > масова передача файлів)
  • Стиснення (gzip, brotli для веб-трафіку)
  • Вибіркова синхронізація (лише критичні дані через повільні лінки)
  • Delay-tolerant networking (черга повідомлень для подальшої синхронізації)

🌍 Порівняння зі стандартами НАТО

NATO Federated Mission Network (FMN)

Подібності:

✅ Принципи нульової довіри
✅ VPN-based overlay мережі
✅ Фокус на багатонаціональній інтероперабельності
✅ Шифрування всього трафіку
✅ Федероване управління ідентичністю

Відмінності:

UTMC:
├── Легковаговий (WireGuard, стандартні Linux інструменти)
├── Низька вартість ($300-800 на сервер СОТ)
├── Будь-який інтернет (включаючи ворожу інфраструктуру)
├── Розроблено для малих тактичних підрозділів

FMN:
├── Важкий (IPsec, пропрієтарні системи НАТО)
├── Висока вартість (класифіковано, але оцінюється >$100K на сайт)
├── Лише виділені військові мережі
├── Розроблено для великих багатонаціональних операцій

Потенціал інтеграції:
UTMC може служити як “останя миля” для FMN, надаючи:

  • Тактична edge підключеність для малих підрозділів
  • Міст між FMN backbone та польовими пристроями
  • Fallback коли FMN інфраструктура недоступна

US DoD Zero Trust Reference Architecture

Відповідність:

DoD Стовп                   UTMC Реалізація
──────────────────────────  ───────────────────────────────
Ідентичність користувача    mTLS сертифікати + SSO
Ідентичність пристрою       WireGuard публічні ключі
Сегментація мережі          Підмережі на основі СОТ (10.10.X.0/24)
Безпека застосунків         Автентифікація рівня сервісу (Nextcloud, Matrix)
Безпека даних               Шифрування в спокої + в русі
Видимість та аналітика      Prometheus моніторинг, централізовані логи
Автоматизація та оркестрація Ansible, Docker Compose

UTMC як DoD-сумісний:

  • Може бути затверджений для некласифікованого військового використання (еквівалент NIPR)
  • Фундамент для класифікованого варіанту (еквівалент SIPR з додатковими контролями)
  • Сумісний з кібербезпековим фреймворком NIST

Порівняльна таблиця

Характеристика UTMC NATO FMN US DoD NIPR
Вартість $300-800/сайт $100K+/сайт Класифіковано
Складність Середня Висока Дуже висока
Час налаштування 1-2 дні Тижні/місяці Місяці
Інтернет Будь-який (вкл. ворожий) Лише військовий Урядові мережі
Шифрування WireGuard (ChaCha20) IPsec (AES) IPsec + MACsec
Масштаб 10-100 сайтів 100-1000и Глобальний (мільйони)
Найкраще для Тактичних підрозділів Коаліційних операцій Великих військових орг

🚀 Майбутній розвиток

Фаза 1: Затвердження (Q1-Q2 2026)

Цілі:

  • Production-ready безпекова постава
  • Операційна документація
  • Навчальні матеріали

Завдання:

  • [ ] Реалізувати автоматизацію ротації сертифікатів
  • [ ] Розгорнути централізоване логування (Loki + Grafana)
  • [ ] Додати виявлення вторгнень (Suricata, Zeek)
  • [ ] Створити playbook’и аварійного відновлення
  • [ ] Провести тестування на проникнення (red team)
  • [ ] Розробити навчальний курс користувачів
  • [ ] Написати операційні процедури (SOP)

Фаза 2: Тестування масштабу (Q2-Q3 2026)

Цілі:

  • Валідувати архітектуру на 10+ СОТах
  • Стрес-тест сценаріїв failover
  • Оптимізувати продуктивність

Завдання:

  • [ ] Розгорнути 10 серверів СОТ (симульовані або реальні підрозділи)
  • [ ] Chaos engineering (випадкові відмови, розділення мережі)
  • [ ] Оптимізація пропускної здатності (стиснення, налаштування QoS)
  • [ ] Тестування географічного розподілу (хаби ЄС, UA, США)
  • [ ] Навантажувальне тестування (100+ одночасних клієнтів)

Фаза 3: Розширені функції (Q3-Q4 2026)

Цілі:

  • Підтримка AI/ML навантажень
  • Обробка супутникових зображень
  • Інтеграція з існуючими військовими системами

Завдання:

  • [ ] GPU вузли для AI inference (артилерійські обчислення, виявлення об’єктів)
  • [ ] Сервер супутникових тайлів (offline карти із зображень)
  • [ ] Інтеграція з українськими цифровими системами (Дія, Трембіта)
  • [ ] Розробка мобільного застосунку (нативні iOS/Android застосунки)
  • [ ] LoRa IoT мережа (датчики середовища, відстеження позицій)

Фаза 4: Продуктизація (2027+)

Цілі:

  • Комерційна пропозиція для союзницьких армій
  • Open-source community edition
  • Сертифікація відповідності стандартам

Завдання:

  • [ ] FIPS 140-3 криптографічна валідація
  • [ ] Common Criteria EAL4+ оцінка
  • [ ] Аудит відповідності NATO NISP
  • [ ] Open-source реліз (GitHub, документація)
  • [ ] Комерційна підтримка (SLA, 24/7 helpdesk)
  • [ ] Експорт союзникам (Польща, Балтійські держави тощо)

📝 Контроль документа

Історія версій:

Версія Дата Автор Зміни
1.0 2025-12-24 Олег (MYTEC) Початковий реліз

Розповсюдження:

  • Внутрішнє використання (підрозділи ЗСУ, затверджені підрядники)
  • Санітизована версія для публічного релізу (редагувати чутливі деталі розгортання)

Класифікація: Некласифіковано (технічна архітектура), Обмежено (фактичні розташування розгортань/ключі)

Ліцензія: CC BY-NC-SA 4.0 (Атрибуція, Некомерційне, Поширення на тих самих умовах) для документації. Код: MIT License.

КІНЕЦЬ ДОКУМЕНТА

🇺🇦 Слава Україні! 💙💛

Шлях: lte/UMTC-Architecture-UA.md

UMTC Wiki © 2026 | Ukrainian Military Tactical Communications