Введение
Система "Антифрод" для блокировки звонков с подменных номеров от Астарта представляет собой программно-аппаратный комплекс,
связывающий АТС оператора связи и узел верификации. (Постановление Правительства РФ от 03.11.2022 N 1978, N 1979).
АТС оператора, в данном контексте, интересна в разрезе вызовов между собственной номерной емкостью и другими операторами связи.
При этом рассматривается использование E1 потоков по сигнализациям ОКС7, EDS1 PRI или IP связи по сигнализации SIP.
Работа системы обеспечивается двумя основными функциональными элементами, обменивающимися информацией о вызовах по защищенному каналу связи.
ЦСУ (Центральная Система Управления) – управляет процессом проверки подлинности абонентских номеров и выявляет нарушения требований оказания услуг связи. Является серверной частью, установлена у государственного регулятора.
УВР (Узел Верификации) – клиентская часть, находится у оператора связи, выполняет функции проверки при установлении соединений в сети связи.
Модуль верификации – ПО исполняемое на УВР, отвечающее за стыковку с АТС оператора. Именно этой части посвящена данная страница.
КВр (Компонент верификации) – ПО исполняемое на УВР, отвечающее за стыковку УВР с ЦСУ. Предоставляется ГРЧЦ. Оператор 'скачивает' ПО КВр из своего личного кабинета РКН и самостоятельно копирует на свой сервер.
Проблема
Протокол взаимодействия системы "Антифрод" никак не связан со стандартными телефонными сигнализациями и протоколами.
Никакая АТС сама по себе не сможет состыковаться с таким интерфейсом.
Рано или поздно каждый российский производитель АТС реализует поддержку этого интерфейса и оператору останется обновить ПО,
оплатив приемлемую стоимость за новую опцию в АТС. Но что делать, если производитель не российский или стоимость не приемлемая или 'или поздно'?
Тогда на помощь придёт Астарта!
Решение
Подписание акта и оплата после успешной сдачи Вашего узла верификации в ГРЧЦ,
в том числе прохождения тестов А1,А2,А3,А4,А7,А15 Телеграм ботом ГРЧЦ.
Основные подходы к решению проблемы, не предполагающие замены АТС или обновления ПО на ней.
Первый подход: если АТС оператора поддерживает RADIUS Authorization, тогда подойдёт типовой модуль Астарта-Радиус,
транслирующий протокол RADIUS Authorization в протокол "Антифрода".
АТС оператора связи, перед пропуском вызова, отправляет сообщение RADIUS:Access-Request в ПО Астарта,
которое, в свою очередь, запрашивает разрешение на пропуск входящего вызова у УВР (точнее у ПО КВр от ГРЧЦ).
В случае положительного ответа от УВР (или превышения тайм-аута 500мс), ПО Астарта отправляет в АТС оператора ответ RADIUS:Access-Accept.
В случае запрета вызова, в АТС оператора отправляется RADIUS:Access-Reject. Исходящие вызовы подтверждаются сразу.
Этот подход ограничивается установкой ПО на сервер оператора (тот же, на котором работает ПО КВр от ГРЧЦ и VipNet) и не требует специфического 'железа'.
Если у АТС Radius интерфейс уже 'занят' билинговой программой, допускается подключение "Астарты" в разрыв трафика,
т.е. АТС шлёт Radius-Access-Request запросы на "Астарту", а она прозрачно ретранслирует их на билинг. Аналогично ретранслируются ответы.
Только в случае необходимости прервать вызов, ответ от билинга Radius-Access-Accept будет подменён на Radius-Access-Reject.
Аналогичным образом "Астарта" включается в разрыв RADIUS Accounting трафика между АТС и биллинговой программой (при необходимости Accounting).
Проведены заводские испытания совместимости с цифровыми шлюзами SMG компании "Элтекс", протокол здесь.
Проверьте возможности своей АТС подключившись к нашему тестовому УВр по Radius (тестовый УВр не содержит ПО КВр и не подключен к ИС "Антифрод").
Второй подход [но, лучше смотрите третий подход для SIP линий]: если АТС оператора поддерживает ReRouting (повторная маршрутизация вызова в зависимости от причины отбоя первой попытки),
тогда подойдёт типовой модуль Астарта-Рероутинг, передающий решение УВр о пропуске вызова в причине отбоя
(E1: CV 34 – разрешить вызов, CV 17 – запретить вызов; SIP: 403 – разрешить вызов, 486 – запретить вызов).
В такой конфигурации АТС оператора соединяется с ПО Астарта по SIP транку или по потоку E1 с сигнализацией ОКС7 / EDSS1 PRI (в случае E1 дополнительно поставляется модуль потока E1).
Модуль Астарта-Рероутинг располагается на территории оператора связи, подключение по SIP (или E1) локально (в одной стойке, а не через Интернет к сторонней АТС).
Таким образом, оператор реализует собственный УВр и "модуль верификации", подключаясь к ИС «Антифрод» напрямую.
Второй подход с верификацией по SIP ограничивается установкой ПО на сервер оператора (тот же, на котором работает ПО КВр от ГРЧЦ и VipNet). При подключении по E1 потоку добавляется 1 Unit 19’’ блок E1-Eth в стойку оператора.
Описанное решение похоже на решение SIP-УВР от ГРЧЦ, выпущенное в сентябре 2024г, но отличается от него настройками.
Например: информация о присоединённых операторах может передаваться в префиксе номеров А или Б.
Решение от Астарты было разработано в июле, когда ещё не было известно, что ГРЧЦ разработает своё ПО SIP-УВР.
Проверьте возможности своей АТС подключившись к нашему тестовому УВр по SIP (тестовый УВр не содержит ПО КВр и не подключен к ИС "Антифрод").
Третий подход: подключение в разрыв линий связи (Intervention) в точке стыка АТС со сторонними операторами.
Это позволит контролировать исходящие и входящие вызовы непосредственно в 'проводах'. Такое подключение позволяет отслеживать момент начала вызова
(с номерами Calling, Called, Redirect), а также позволяет прерывать вызов в любой момент. Допускается подключение:
- в разрыв E1 потоков (сигнализация ОКС7, EDSS1 PRI).
- посредством зеркалирования IP трафика (сигнализация SIP (UDP));
Компанией Астарта разработано специализированное ПО для этой цели, позволяющее подключаться в разрыв 'проводов' специфическим способом,
не требующим каких-либо настроек сигнализаций (поинт-код OPC/DPC, ip адреса и т.д.).
'Классическое' подключение в разрыв E1 ОКС7 обычным коммутатором потоков подразумевает полноценное поднятие сигнализаций ОКС7 в оба получившихся потока - это
влечёт за собой потерю 'прозрачности' ISUP сообщений при прохождении вызова через коммутатор с рисками изменения CIC и прочих полей, например, IAM сообщения.
Для оператора связи это целое мероприятие по пуско-наладке нового коммутатора.
'Специфическое' решение от Астарты самостоятельно поднимает первый транспортный MTP (LAPD) уровень, не требующий настроек, пропуская все ISUP (Q.931) сообщения полностью прозрачно.
Плюсы специфического решения:
- отсутствие задержки входящих вызовов (до 500мс), которая есть в первых двух подходах;
- возможность прервать вызов 'мошенника' позже тайм-аута в 500мс (полезно в случае 'медлительности' связки УВр-УВз-УВр);
- прерванные вызовы не 'выпадут' из СОРМа и тарификации - они будут помечены специальной причиной разъединения CV 50 (не офиц. зарезервирована под Антифрод);
- сбор исторических данных доступен непосредственно с 'проводов';
- чисто голосовые потоки E1 (которые без сигнального тайм-слота) не требуется 'разрывать';
- никакие сообщения сигнализации (IAM, SETUP, INVITE, ...) не будет изменены, признаки номера не будут потеряны, нумерация каналов (CIC, CallRef) не будут пересчитана;
- никакие SIP сообщения не будут модифицированы;
- нет необходимости в настройке какой-либо конфигурации, связанной с MTP или ISUP или SIP;
- в случае отказа сервера или сети, оборудование Астарта iBase автоматически переходит в режим 'bypass', сохраняя 'link' между операторами (связь остаётся доступной);
- в случае отказа оборудования Астарта iBase (что маловероятно), можно соединить 'разорванный' кабель через перекрёстный бочонок;
- в целях повышения отказоустойчивости, модули Астарта iBase состоят из отдельных плат по 4 порта (разрыв 2-ух потоков),
позволяя пропускать дублирующие сигнальные линки (обычно их два) одного ОКС7 направления через разные платы;
- возможна попутная запись разговоров в целях реализации СОРМа для 'Яровой' (приказ 86).
- сохраняется входящая и исходящая связь в случае обрыва Интернет канала между УВр Оператора и ИС "Антифрод".
У многих облачных операторов, предоставляющих виртуальный "Антифрод", эта проблема не решена - исходящие вызовы блокируются встречным оператором как фродовые при обрыве Интернета от своей АТС до 'облака'.
Получившейся системе остаётся контролировать 'пролетающие' через неё ISUP (Q.931/SIP) сообщения.
В зависимости от выбранной стратегии, допускается два подхода к прерыванию запрещённых вызовов:
- Прерывание: вызовы пропускаются моментально, а в случае запрета (через 500 мс) 'вдогонку' обоим участникам соединения отправляется отбой (CV 50) - к вызываемому
и обратно к вызывающему абоненту. Если даже наш вызываемый абонент и увидит пропущенный вызов от мошенника, то он не сможет перезвонить ему, т.к. вызывающий номер был поддельный.
- Подавление: все входящие сообщения IAM (SETUP) об инициации вызова задерживаются на 500 мс и подавляются в случае,
если узел верификации выдал запрет на прохождение вызова. При получении такого запрета в сторону вызывающего отправляется отбой,
а наш вызываемый абонент уже не получает сообщения о вызове вовсе (оно окажется 'вырезано' из трафика).
Лучшим вариантом является прерывание, т.к. эта стратегия не вносит задержек в связь, не 'прячет' прерванные вызовы от СОРМа и явно обозначена в законе.
Цитата из ПП 1978:
“ … оператор связи … в течение 500 миллисекунд с момента направления им … сведений, …, получает из системы … сведения о нарушении … и должен прекратить установление соединения”.
Сертификаты
- В части шифрованной связи по VipNet, предоставляется лицензированным установщиком.
- В части ПО КВр от ГРЧЦ - не требуются, т.к. используется "компонент верификации" от ГРЧЦ в неизменном виде.
Оператор 'скачивает' ПО КВр из своего личного кабинета РКН и самостоятельно копирует на свой сервер.
- В части ПО Модуль Верификации от Астарта - не требуется, т.к. является 'сервисным' ПО, сопровождающим оборудование.
- В части оборудования Астарта iBase, включаемого в ТфоП по E1 потокам, получен ССС.
- В части услуги пуско-наладки, лицензирование не требуется.
- Аттестация объекта УВр не требуется (объявлено 24.08.23 на ВКС представителем ГРЧЦ).
Стоимость решения для первого и второго подходов
Компонент |
Кол-во |
Стоимость |
Сервер (допускается виртуальный)
.
. |
1 или 2 |
(предоставляется оператором) |
Управляющее ПО и пуско-наладка под ключ
.
. |
1 |
127 т.р. |
Оборудование Астарта iBase, стык с АТС по E1
(второй подход и АТС не поддерживает SIP)
. |
1 модуль
(4 порта E1) |
64 т.р. |
Поддержка присоединённых операторов
(не применяется для третьего подхода)
. |
1 оператор |
16 т.р. |
Мощность (пропускная способность) системы
(не применяется для третьего подхода)
. |
1 'Ампер' (*) |
1 т.р. |
(*) Мощность (пропускная способность) системы ограничивает максимально возможное количество вызовов (входящих + исходящих инициаций) в месяц.
Десять тысяч вызовов соответствует одному 'Амперу'. Оплата единоразовая, а не ежемесячная.
Компонент |
Кол-во |
Стоимость |
Сервер (допускается виртуальный)
.
. |
1 или 2 |
(предоставляется оператором) |
Управляющее ПО и пуско-наладка под ключ
.
. |
1 |
127 т.р. |
Оборудование Астарта iBase
для сигнальных+голосовых E1 потоков (**)
. |
1 поток E1
(занимает 2 порта) |
32 т.р. |
Лицензия для чисто голосовых ОКС7 E1 потоков
(эти потоки не требуют подключения к iBase)
. |
1 поток E1 |
16 т.р. |
Лицензия для контроля SIP соединений
(первая/последующие)
. |
30 разговоров
(одновременных) |
68/16 т.р. |
Запись разговоров для СОРМ, приказ 86, (опционально)
. |
1 поток E1 |
18 т.р. |
(**) Количество потоков округляется вверх до чётного (на одном модуле iBase 4, 8 или 12 портов).
Компонент |
Кол-во |
Стоимость |
Сервер: процессор Intel I3, память 16Гб
(допускается виртуальный)
под ОС Linux (Debian 11 или Astra Linux SE) |
1
(или 2 для резерва) |
~ 48 т.р. |
ПО ViPNet Client 4U for Linux + VipNet FireWall
(с пуско-наладкой и тех. поддержкой)
. |
1 |
~ 12 т.р. |
ОС Astra Linux Special Edition "Смоленск"
(На ВКС 24.08.23 ГРЧЦ 'смягчил' требования,
теперь можно использовать Debian 11)
|
1 |
~ 21 т.р.
|
Дом
Карта
Помощь
