Подготовка УВр и отправка уведомления (запроса на тестирование) в ГРЧЦ
Предварительные действия по подготовке сервера и установлению связи с ГРЧЦ
Смотрите по ссылке инструкцию по сборке сервера, выбора ОС и выбора набора VipNet
select-comp-and-linux.html
Здесь инструкция по установке ОС и ПРАВИЛЬНОМУ добавлению пользователя astarta
(при неправильном добавлении мы не сможем выполнить нужные операции на вашем сервере)
install-linux-os.html
До или после (неважно) установки VipNet получите номер узла верификации
и обменяйтесь секретными ключами с ГРЧЦ:
grfc-get-node-number.html
После установки VipNet настройте доступ с сервера в ГРЧЦ:
conf-sftp-access.html
После получения оборудования Астарта, подключите его по этой инструкции:
iBaseAntifrodPassport.pdf
Подача уведомления в ГРЧЦ
После настройки УВр и успешного проведения 4-ёх тестов (аналог ГРЧЦ тестов А1,А2,А3,А4) необходимо
направить уведомление о готовности узла верификации оператору системы (т.е. ГРЧЦ), следующими способами:
- на адрес grfc@grfc.ru, в копию af_skzi@grfc.ru, e.polagina@rkn.gov.ru
- в ГРЧЦ почтой России заказным письмом с описью, с уведомлением о вручении
Обратите внимание, что в копии есть адрес РКН
Отдельным письмом просим отправить копию уведомления нам на адрес ab@astarta-m.ru
Текст уведомления рекомендуется такой:
В соответствии с п.19 ПП 1978, направляем уведомление о готовности узла верификации к эксплуатации в составе системы обеспечения соблюдения требований и выполнении технических условий по подключению к системе обеспечения соблюдения требований оператору системы обеспечения соблюдения требований.
Оператор связи: ООО “HappyTelecom”
ИНН: 000000000
Идентификатор УВр: 777
Выделенный номер для входящих тестовых вызов: +7(495)000-11-11
Мобильный номер сотрудника: +7(911)777-00-00 Уведомление должно быть с печатью, т.е. к электронному письму нужно приложить ‘скан’.
Желательно продублировать текст в теле письма - это поможет сотруднику ГРЧЦ избежать ошибок при копировании реквизитов.
Выделенный номер для входящих тестовых вызов - это первый из трёх выгруженных тестовых номеров.
После подачи заявления, раз в 2-3 дня необходимо совершать исходящий тестовый вызов в ГРЧЦ, детали см. в разделе “ГРЧЦ тесты А3 и А4”.
Выгрузка трёх тестовых номеров в ИС Антифрод
Выделите три номера из своей ёмкости для проведения тестов.
(на этих номерах будут проблемы со связью, лучше брать свободные номера)
Эти три номера необходимо зарегистрировать в ИС “Антифрод” - процедура занимает от 4 часов до 2-ух суток,
но на практике иногда бывают сбои в ГРЧЦ, в таком случае повторите процедуру через 2-ое суток .
Первый номер: он подаётся в ГРЧЦ, на него будут поступать входящие вызовы.
наш УВр должен уметь отличать ‘фродовый’ вызов от нормального и, соответственно, отбивать ‘фродовый’.
На этот номер нельзя вешать автоответчик. Важно чтобы номер не был занят.
То есть, при вызове на этом номере должен идти КПВ (длинные гудки) не менее 20-ти секунд. Допускается отвечать на вызов вручную.
Второй номер: с него Вы будете совершать нормальные исходящие вызовы другим операторам.
Для этого номера наш УВр уведомляет ИС Антифрод о факте исходящего вызова и другие операторы должны принять наш вызов.
Третий номер: с него Вы будете совершать ‘фродовые’ исходящие вызовы другим операторам.
Для этого номера наш УВр специально НЕ уведомляет (искусственно блокирует эту функцию) ИС Антифрод о факте исходящего вызова и другие операторы должны отбить наш вызов, как ‘фродовый’.
Если ГРЧЦ попросит вас совершить исходящий вызов, НЕ выполняйте его с третьего номера - этот номер только для самостоятельного тестирования.
Иначе, ГРЧЦ посчитает, что у вас не работает уведомление ИС Антифрод о факте исходящего вызова и поставит минус.
Впишите эти три номера в УВр:
(обычно мы уже выполнили эти действия к моменту отправки этой инструкции)
в файл /home/AutoPutty/NUMS в строгом формате:
- всего 11 цифр в номере, первая цифра 7
- каждый номер с новой строки
- перевод строки после последнего номера
- никаких посторонних символов
Пример:
74950001111
74950002222
74950003333 Если Вы ещё не выгружали эти три номера в ИС Антифрод, тогда выполните скрипт:
(обычно мы их уже выгрузили к моменту отправки этой инструкции, не повторяйте выгрузку)
cd /home/AutoPutty
./send_NUMS_to_GRFC.shВ ответе будет: ‘success’ или ‘bad format file’.
Не рекомендуется отправлять номера повторно, ранее чем через два дня.
Потому что, система ГРЧЦ сначала всё стирает, а только когда-то потом грузит номера снова.
Если в ответе будет ‘bad format file’, тогда нужно исправить /home/AutoPutty/NUMS и выполнить скрипт повторно сразу.
Для того, чтобы убедиться, что ваши номера успешно попали в БД ИС “Антифрод”, выполните (не запуская mc):
sudo /home/ipats/terminal-manager.sh
CONF CMD afr NUMINFO 74965658673
exitили введите в том же терминале сокращённые команды:
_nums
_num 1
_num 2
_num 3В ответе должна, среди прочего, распеваться строка ‘uvrIdPrimary’:
12:00:00 number : 74965658673
12:00:00 uvrIdPrimary : 302Если Вы увидели свой номер УВр в строке uvrIdPrimary, значит регистрация прошла успешно.
Если Вы увидели 0 в строке uvrIdPrimary, значит регистрация не прошла.
Если Вы увидели -1 в строке uvrIdPrimary, значит ПО не работает корректно.
Чтобы убедиться, что система проверки работает корректно (может VipNet отключен или ГРЧЦ недоступен),
проверьте похожим способом чужие номера, которые Вам известны.
Например, номер 74965658673 зарегистрирован в ИС Антифрод и привязан к УВр номер 302
(теоретически, владелец номера может его удалить из системы, заменив на другой).
После успешной регистрации своих трёх номеров можно переходить к тестированию.
Настройка конфигурации “Модуля верификации”
В случае подключения Антифрода в разрыв потоков E1, воспользуйтесь этой инструкцией для настройки конфигурации
(обычно мы уже выполнили настройку к моменту отправки этой инструкции)
intervention-e1.html
В случае подключения Антифрода по технологии Radius или ReRouting,
запросите индивидуальную конфигурацию по электронный почте ab@astarta-m.ru
Самостоятельное тестирование Вашего УВр на выделенных номерах
Тестирование исходящей связи (аналог ГРЧЦ тестов А3 и А4)
Для этого теста выделено два номера (второй и третий) с которых Вы звоните на один и тот-же номер.
Номер на который Вы звоните, должен принадлежать чужому оператору и должен быть зарегистрирован в ИС “Антифрод”.
УВр этого чужого оператора должен быть активен (не отвечать на всё подряд ‘time-out’). В рамках одного теста нужно звонить на один и тот-же номер, который Вы выбрали к качестве цели атаки.
Результат интерпретируется примерно как полоски на био-тесте:
- оба вызовы не удачны, значит тест НЕ прошёл
- оба вызовы удачны, значит тест НЕ прошёл
- вызов со второго номера удачный, вызов с третьего номера не удачный, значит тест прошёл
ВНИМАНИЕ: в этом тесте нельзя звонить куда попало !
Тест имеет смысл, только если вы звоните на чужой номер, который чужой оператор зарегистрировал в ИС “Антифрод”.
При этом важно, чтобы УВр этого оператора был активен.
В качестве номера цели атаки ГРЧЦ предлагает эталонный номер 74954809485 или 74954809636,
но он не всегда находится в рабочем состоянии.
Приводим список таких номеров, на которые можно пробовать делать тестовые вызовы.
Если тесты парных вызовов на большую часть этих номеров удались (одна полоска из двух), тогда можно не обращать внимания,
что 1,2 номера из этого списка неудачен - возможно владелец номера отключил свой УВр или в эталоне ГРЧЦ сбой.
Этот список составлен из ‘первый тестовый номер’ других операторов связи, на который они ожидают входящие вызовы от ГРЧЦ.
(если Вы этот ‘другой’ оператор и возражаете против публикации номера - напишите нам, мы его удалим).
78463539001
74959746821
74725439582
74954809485 эталонный номер ГРЧЦ (на нём сработает автоответчик, а не КПВ)
74954809636 эталонный номер ГРЧЦ (на нём сработает автоответчик, а не КПВ)Внимание: в рамках самотестирования не совершайте вызовов на эталонный номер ГРЧЦ с первого тестового номера,
используйте для этого второй и третий тестовый номера, как здесь и задумано.
Причины см. в разделе “Тестирование исходящей связи (ГРЧЦ тесты А3 и А4)”.
Почему же вызовы с третьего номера должны заканчиваться неудачей?
Потому что мы заблокируем процедуру уведомления ИС “Анфтирод” для исходящих вызовов,
совершаемых с этого третьего номера. Для этого, в файле proconf.txt, найдите строку
CONF APPLY rt_AFR ADD UP_AON="74950003333" : RESULT=PN_TRANSITи замените 74950003333 на свой тестовый третий номер
(обычно мы это уже сделали к моменту отправки этой инструкции)
Вызовы с этого номера УВр будет интерпретировать как транзитные, следовательно, процедура нотификации выполнена не будет.
Для применения изменений в файле proconf.txt, выполните:
sudo /home/ipats/terminal-manager.sh
uppro
exit или:
pkill -e ia-managerПроверьте в файлах журнала /home/ipats/journal_billing/<дата>.csv имя присоединённого оператора для Вашего тестового вызова.
В конце этой страницы есть ссылка на описание этого журнала.
Тестирование входящей связи (аналог ГРЧЦ тестов А1 и А2)
Для этого теста выделен первый тестовый номер.
Самостоятельное тестирование сводится к тому, что все входящие вызовы на него проходят (тест А2),
а вызов с вашего личного мобильного - не проходит (тест А1).
(этот абзац обязателен)
На этапе проверки ‘всех’ входящих вызовов, можно попросить выполнить кого-то из других операторов такой вызов
не просто с любого номера, а с номера зарегистрированного в ИС “Антифрод”.
Проверьте, что другой оператор звонит Вам с зарегистрированного номера,
это можно сделать той-же командой, которой вы проверяли свои три тестовых номера.
(этот абзац необязателен)
Есть в сети такой интересный номер (зарегистрированный в ИС “Антифрод”), который умеет перезванивать обратно на АОН, с которого совершён вызов.
Попробуйте использовать этот номер тоже: 74955005555
(этот абзац необязателен)
Почему же вызовы с вашего личного мобильного не должны пройти на этот номер?
Потому что, перед совершением этого теста мы выполним подмену АОНа на этапе верификации этого входящего вызова.
Настройте в вашей конфигурации proconf.txt такую подмену: при вызове с вашего мобильного,
запрос на верификацию поступит не к вашему сотовому оператору, а к постороннему оператору, номер которого мы укажем.
Для этого, в файле proconf.txt, найдите строку
CONF APPLY rt_AFR ADD UP_AON="79110000000" : UP_AON="74965658673" RESULT=PN_VERIFYи замените 79110000000 на номер вашего мобильного.
Номер 74965658673 - это номер чужого оператора связи, который зарегистрировал его в ИС “Антифрод” (на момент создания этой страницы)
(обычно мы это уже сделали к моменту отправки этой инструкции)
Для применения изменений в файле, выполните:
pkill -e ia-manager(Владельцу номера 74965658673, который его узнал:
Просим отнестись с пониманием: чей-то номер мы должны были взять, а Вы среди первых уже прошли тесты А1-А4 и Ваш УВр стабильно работает.
Но мы ничего не нарушаем: любой мошенник имеет полное право проводить верификацию Вашего номера на вашем УВр, чтобы мы и делаем.
Ваш УВр ответит, что такого вызова он не совершал - ни один котик в эксперименте не пострадает)
Для теста важно, чтобы УВр владельца выбранного номера был активен, иначе тест не получится, т.к. вызов пройдёт по time-out, а нам нужен именно отказ от чужого УВр.
Неверное определение присоединённого оператора для входящего вызова, является причиной для незачёта теста.
Проверьте в файлах журнала /home/ipats/journal_billing/<дата>.csv имя присоединённого оператора для Вашего тестового вызова.
В конце этой страницы есть ссылка на описание этого журнала.
Идеальный контроль
Чтобы на 200% быть уверенным, что всё работает правильно, можно, выполняя эти эксперименты, наблюдать обмен сообщения между вашим УВр и ИС “Анфтирод”.
Этот обмен происходит в текстовом виде и он интуитивно понятен. Пока нет нагрузки, это будут одиночные сообщения в момент выполнения тестов.
tcpdump -i tun0 -n -A tcp port 8081Найдите взглядом строки:
“request”: { “opcode”: “Request”, “uvrO”: 41, “uvrT”: 108 - запрос на подтверждение вызова от 41 к 108 УВр
“response”:{“serviceKey”:80,“uvrO”:41,“uvrT”:108 … “opcode”:“Release”} - ответ на запрос Release (запретить вызов)
“response”:{“serviceKey”:80,“uvrO”:41,“uvrT”:108 … “opcode”:“Continue”} - ответ на запрос Continue (разрешить вызов)
“uvrO”: 41 - номер УВр, который инициировал запрос
“uvrT”: 108 - номер УВр, которому отправлен запрос
в ответах на запросы эти номера не меняются местами (как в IP сети), а копируются как есть из запроса
В tcpdump должна наблюдаться такая картина по тестам:
Входящий нормальный вызов на первый тестовый номер: request / response-Continue
Входящий фродовый вызов на первый тестовый номер: request / response-Release
Исходящий нормальный вызов с тестового второго номера: request / response-Continue
Исходящий фродовый вызов с тестового третьего номера: request / response-Release
Напоминаем, что парный номер, с которым проводится тестирование, должен быть зарегистрирован в ИС “Антифрод”
Это можно проверить той-же командой, которой вы проверяли свои 3 номера.
Тестирование Вашего УВр сотрудниками ГРЧЦ
Тестирование в ГРЧЦ имеет смысл, если ваше самостоятельное тестирование прошло успешно.
Если же у вас тесты не проходят, то и у ГРЧЦ они не пройдут.
Тестирование исходящей связи (ГРЧЦ тесты А3 и А4)
Для прохождения этого теста необходимо периодически, раз в 2-3 дня, начиная с момента подачи заявки на тестирование
совершать исходящий вызов с первого тестового номера на номер ГРЧЦ 74954809485 или 74954809636.
Тестирование в ГРЧЦ автоматизировано и их робот будет сам искать ваш вызов.
Важно соблюдать условия:
1. В один день можно совершать строго один вызов только на один из этих двух номеров.
2. В один день можно позвонить на один номер, в другой день на другой.
3. Звонить нужно с первого тестового номера, т.е. с того, который подан в заявке в ГРЧЦ.
4. Категорически нельзя звонить два раза подряд.
5. Вызов нужно совершать стоя, ориентируясь лицом на восток, задом на запад (в связи с импортозамещением).
Возможно, ГРЧЦ вам позвонит сам и попросит совершить такой вызов. Если случайно позвоните с третьего тестового номера, то тест будет провален,
потому что в конфигурации специально заблокирована отправка нотификации в ГРЦЧ при вызовах с этого номера.
После выполнения исходящего вызова по их просьбе, не совершайте повторных вызовов с этих номеров,
т.к. это испортит тест А3 (через какое-то время ГРЧЦ запрашивает ваш УВр, сделан ли ещё один вызов - должен быть отрицательный ответ).
Тестирование входящей связи (ГРЧЦ тесты А1 и А2)
Этот тест ГРЧЦ выполнит самостоятельно, без вашего участия.
Выделенный для этого первый номер должен быть не занят и не оборудован автоответчиком.
Вызывающий абонент (ГРЧЦ) должен услышать КПВ (длинные гудки) при вызове с нормального АОНа.
А при вызове с подменного номера, Ваш УВр должен прервать такой вызов,
в журнале биллинга вы увидите 1-failure и номер ГРЧЦ, с которого вам звонили - 749548096**.
Неверное определение присоединённого оператора для входящего вызова, является причиной для незачёта теста !!!
В логах журналов биллинга /home/ipats/journal_billing/<дата>.csv зафиксируется факт теста А1 и А2.
Подробное описание формата этого журнала смотрите здесь.
В биллинге своей АТС ищите входящие вызовы от ГРЧЦ с номеров 749548096**.
Нормальный вызов должен быть с отбоем по 16-ой причине.
Фродовый вызов должен быть с отбоем по 50-ой причине (только для технологии в разрыв E1 потоков).
Также можно отслеживать тесты ГРЧЦ в биллинге УВр командой:
cat /home/ipats/journal_billing/2024_*.csv | grep 749548096Выгрузка полной номерной ёмкости
После успешного прохождения тестов А1,А2,А3,А4,А7 в ГРЧЦ, вас попросят выгрузить полную номерную ёмкость в ИС “Антифрод”.
Это будет последним условием для получения акта.
Риск нарушения связи на АТС оператора от выгрузки полной номерной ёмкости нисколько не уменьшится от факта прохождения тестов в ГРЧЦ.
А вот объём переписки с ГРЧЦ и срок получения акта зависит от того, когда выгружена полная номерная ёмкость.
Таким образом, имеет смысл (но, не обязательно) выгружать полную номерную ёмкость ДО подачи заявки в ГРЧЦ.
Тогда можно будет получить акт сразу после прохождения тестов.
Обращаем внимание: нельзя выгружать полную номерную ёмкость в интервале после подачи заявки и до прохождения тестов,
т.к. в процессе такой выгрузки есть риск пропажи тестовых номеров из БД “Антифрод”, а это повлечёт за собой провал тестов в ГРЧЦ.
Инструкция по выгрузке полной номерной ёмкости находится по этой ссылке.