Введение

Система "Антифрод" для блокировки звонков с подменных номеров от Астарта представляет собой программно-аппаратный комплекс, связывающий АТС оператора связи и узел верификации. (Постановление Правительства РФ от 03.11.2022 N 1978, N 1979).

АТС оператора, в данном контексте, интересна в разрезе вызовов между собственной номерной емкостью и другими операторами связи. При этом рассматривается использование E1 потоков по сигнализациям ОКС7, EDS1 PRI или IP связи по сигнализации SIP.

Работа системы обеспечивается двумя основными функциональными элементами, обменивающимися информацией о вызовах по защищенному каналу связи.
ЦСУ (Центральная Система Управления) – управляет процессом проверки подлинности абонентских номеров и выявляет нарушения требований оказания услуг связи. Является серверной частью, установлена у государственного регулятора.
УВР (Узел Верификации) – клиентская часть, находится у оператора связи, выполняет функции проверки при установлении соединений в сети связи.
Модуль верификации – ПО исполняемое на УВР, отвечающее за стыковку с АТС оператора. Именно этой части посвящена данная страница.
КВр (Компонент верификации) – ПО исполняемое на УВР, отвечающее за стыковку УВР с ЦСУ. Предоставляется ГРЧЦ. Оператор 'скачивает' ПО КВр из своего личного кабинета РКН и самостоятельно копирует на свой сервер.

Проблема

Протокол взаимодействия системы "Антифрод" никак не связан со стандартными телефонными сигнализациями и протоколами. Никакая АТС сама по себе не сможет состыковаться с таким интерфейсом.

Рано или поздно каждый российский производитель АТС реализует поддержку этого интерфейса и оператору останется обновить ПО, оплатив приемлемую стоимость за новую опцию в АТС. Но что делать, если производитель не российский или стоимость не приемлемая или 'или поздно'? Тогда на помощь придёт Астарта!

Решение

Основные подходы к решению проблемы, не предполагающие замены АТС или обновления ПО на ней.

Первый подход: если АТС оператора поддерживает RADIUS Authorization, тогда подойдёт типовой модуль Астарта-Радиус, транслирующий протокол RADIUS Authorization в протокол "Антифрода".
   АТС оператора связи, перед пропуском вызова, отправляет сообщение RADIUS:Access-Request в ПО Астарта, которое, в свою очередь, запрашивает разрешение на пропуск входящего вызова у УВР (точнее у ПО КВр от ГРЧЦ). В случае положительного ответа от УВР (или превышения тайм-аута 500мс), ПО Астарта отправляет в АТС оператора ответ RADIUS:Access-Accept. В случае запрета вызова, в АТС оператора отправляется RADIUS:Access-Reject. Исходящие вызовы подтверждаются сразу.
   Этот подход ограничивается установкой ПО на сервер оператора (тот же, на котором работает ПО КВр от ГРЧЦ и VipNet) и не требует специфического 'железа'.
   Если у АТС Radius интерфейс уже 'занят' билинговой программой, допускается подключение "Астарты" в разрыв трафика, т.е. АТС шлёт Radius-Access-Request запросы на "Астарту", а она прозрачно ретранслирует их на билинг. Аналогично ретранслируются ответы. Только в случае необходимости прервать вызов, ответ от билинга Radius-Access-Accept будет подменён на Radius-Access-Reject. Аналогичным образом "Астарта" включается в разрыв RADIUS Accounting трафика между АТС и биллинговой программой (при необходимости Accounting).
   Проведены заводские испытания совместимости с цифровыми шлюзами SMG компании "Элтекс",
протокол здесь.

   Проверьте возможности своей АТС подключившись к нашему тестовому УВр по Radius (тестовый УВр не содержит ПО КВр и не подключен к ИС "Антифрод").

Второй подход [не рекомендуется из-за сложной настройки АТС оператора, смотрите третий подход для SIP линий]: если АТС оператора поддерживает ReRouting (повторная маршрутизация вызова в зависимости от причины отбоя первой попытки), тогда подойдёт типовой модуль Астарта-Рероутинг, передающий решение УВр о пропуске вызова в причине отбоя (E1: CV 34 – разрешить вызов, CV 17 – запретить вызов; SIP: 403 – разрешить вызов, 486 – запретить вызов).
   В такой конфигурации АТС оператора соединяется с ПО Астарта по SIP транку или по потоку E1 с сигнализацией ОКС7 / EDSS1 PRI (в случае E1 дополнительно поставляется модуль потока E1).
   Модуль Астарта-Рероутинг располагается на территории оператора связи, подключение по SIP (или E1) локально (в одной стойке, а не через Интернет к сторонней АТС). Таким образом, оператор реализует собственный УВр и "модуль верификации", подключаясь к ИС «Антифрод» напрямую.
   Второй подход с верификацией по SIP ограничивается установкой ПО на сервер оператора (тот же, на котором работает ПО КВр от ГРЧЦ и VipNet). При подключении по E1 потоку добавляется 1 Unit 19’’ блок E1-Eth в стойку оператора.
   Описанное решение похоже на решение SIP-УВР от ГРЧЦ, выпущенное в сентябре 2024г, но отличается от него настройками. Например: информация о присоединённых операторах может передаваться в префиксе номеров А или Б. Решение от Астарты было разработано в июле, когда ещё не было известно, что ГРЧЦ разработает своё ПО SIP-УВР.

   Проверьте возможности своей АТС подключившись к нашему тестовому УВр по SIP (тестовый УВр не содержит ПО КВр и не подключен к ИС "Антифрод").

Третий подход: подключение в разрыв линий связи (Intervention) в точке стыка АТС со сторонними операторами. Это позволит контролировать исходящие и входящие вызовы непосредственно в 'проводах'. Такое подключение позволяет отслеживать момент начала вызова (с номерами Calling, Called, Redirect), а также позволяет прерывать вызов в любой момент. Допускается подключение:

  • в разрыв E1 потоков (сигнализация ОКС7, EDSS1 PRI).
  • посредством зеркалирования IP трафика (сигнализация SIP (UDP));

Схема интеграции модуля верификации Астарта

Компанией Астарта разработано специализированное ПО для этой цели, позволяющее подключаться в разрыв 'проводов' специфическим способом, не требующим каких-либо настроек сигнализаций (поинт-код OPC/DPC, ip адреса и т.д.). 'Классическое' подключение в разрыв E1 ОКС7 обычным коммутатором потоков подразумевает полноценное поднятие сигнализаций ОКС7 в оба получившихся потока - это влечёт за собой потерю 'прозрачности' ISUP сообщений при прохождении вызова через коммутатор с рисками изменения CIC и прочих полей, например, IAM сообщения. Для оператора связи это целое мероприятие по пуско-наладке нового коммутатора.
'Специфическое' решение от Астарты самостоятельно поднимает первый транспортный MTP (LAPD) уровень, не требующий настроек, пропуская все ISUP (Q.931) сообщения полностью прозрачно. Плюсы специфического решения:
  • отсутствие задержки входящих вызовов (до 500мс), которая есть в первых двух подходах;
  • возможность прервать вызов 'мошенника' позже тайм-аута в 500мс (полезно в случае 'медлительности' связки УВр-УВз-УВр);
  • прерванные вызовы не 'выпадут' из СОРМа и тарификации - они будут помечены специальной причиной разъединения CV 50 (не офиц. зарезервирована под Антифрод);
  • сбор исторических данных доступен непосредственно с 'проводов';
  • чисто голосовые потоки E1 (которые без сигнального тайм-слота) не требуется 'разрывать';
  • никакие сообщения сигнализации (IAM, SETUP, INVITE, ...) не будет изменены, признаки номера не будут потеряны, нумерация каналов (CIC, CallRef) не будут пересчитана;
  • никакие SIP сообщения не будут модифицированы;
  • нет необходимости в настройке какой-либо конфигурации, связанной с MTP или ISUP или SIP;
  • в случае отказа сервера или сети, оборудование Астарта iBase автоматически переходит в режим 'bypass', сохраняя 'link' между операторами (связь остаётся доступной);
  • в случае отказа оборудования Астарта iBase (что маловероятно), можно соединить 'разорванный' кабель через перекрёстный бочонок;
  • в целях повышения отказоустойчивости, модули Астарта iBase состоят из отдельных плат по 4 порта (разрыв 2-ух потоков), позволяя пропускать дублирующие сигнальные линки (обычно их два) одного ОКС7 направления через разные платы;
  • возможна попутная запись разговоров в целях реализации СОРМа для 'Яровой' (приказ 86).
  • сохраняется входящая и исходящая связь в случае обрыва Интернет канала между УВр Оператора и ИС "Антифрод". У многих облачных операторов, предоставляющих виртуальный "Антифрод", эта проблема не решена - исходящие вызовы блокируются встречным оператором как фродовые при обрыве Интернета от своей АТС до 'облака'.
Получившейся системе остаётся контролировать 'пролетающие' через неё ISUP (Q.931/SIP) сообщения. В зависимости от выбранной стратегии, допускается два подхода к прерыванию запрещённых вызовов:
  • Прерывание: вызовы пропускаются моментально, а в случае запрета (через 500 мс) 'вдогонку' обоим участникам соединения отправляется отбой (CV 50) - к вызываемому и обратно к вызывающему абоненту. Если даже наш вызываемый абонент и увидит пропущенный вызов от мошенника, то он не сможет перезвонить ему, т.к. вызывающий номер был поддельный.
  • Подавление: все входящие сообщения IAM (SETUP) об инициации вызова задерживаются на 500 мс и подавляются в случае, если узел верификации выдал запрет на прохождение вызова. При получении такого запрета в сторону вызывающего отправляется отбой, а наш вызываемый абонент уже не получает сообщения о вызове вовсе (оно окажется 'вырезано' из трафика).
Лучшим вариантом является прерывание, т.к. эта стратегия не вносит задержек в связь, не 'прячет' прерванные вызовы от СОРМа и явно обозначена в законе. Цитата из ПП 1978:
“ … оператор связи … в течение 500 миллисекунд с момента направления им … сведений, …, получает из системы … сведения о нарушении … и должен прекратить установление соединения”.

Сертификаты

  • В части шифрованной связи по VipNet, предоставляется лицензированным установщиком.
  • В части ПО КВр от ГРЧЦ - не требуются, т.к. используется "компонент верификации" от ГРЧЦ в неизменном виде. Оператор 'скачивает' ПО КВр из своего личного кабинета РКН и самостоятельно копирует на свой сервер.
  • В части ПО Модуль Верификации от Астарта - не требуется, т.к. является 'сервисным' ПО, сопровождающим оборудование.
  • В части оборудования Астарта iBase, включаемого в ТфоП по E1 потокам, получен ССС.
  • В части услуги пуско-наладки, лицензирование не требуется.
  • Аттестация объекта УВр не требуется (объявлено 24.08.23 на ВКС представителем ГРЧЦ).

Стоимость решения для первого и второго подходов

Компонент

Кол-во

Стоимость

Сервер (допускается виртуальный)
.
.

1 или 2

(предоставляется оператором)

Управляющее ПО и пуско-наладка под ключ
.
.

1

127 т.р.

Оборудование Астарта iBase, стык с АТС по E1
(второй подход и АТС не поддерживает SIP)
.

1 модуль
(4 порта E1)

64 т.р.

Поддержка присоединённых операторов
(не применяется для третьего подхода)
.

1 оператор

16 т.р.

Мощность (пропускная способность) системы
(не применяется для третьего подхода)
.

1 'Ампер' (*)

1 т.р.

(*) Мощность (пропускная способность) системы ограничивает максимально возможное количество вызовов (входящих + исходящих инициаций) в месяц. Десять тысяч вызовов соответствует одному 'Амперу'. Оплата единоразовая, а не ежемесячная.

Стоимость решения для третьего подхода

Компонент

Кол-во

Стоимость

Сервер (допускается виртуальный)
.
.

1 или 2

(предоставляется оператором)

Управляющее ПО и пуско-наладка под ключ
.
.

1

127 т.р.

Оборудование Астарта iBase
для сигнальных+голосовых E1 потоков (**)
.

1 поток E1
(занимает 2 порта)

32 т.р.

Лицензия для чисто голосовых ОКС7 E1 потоков
(эти потоки не требуют подключения к iBase)
.

1 поток E1

16 т.р.

Лицензия для контроля SIP соединений
(первая/последующие)
.

30 разговоров
(одновременных)

68/16 т.р.

Запись разговоров для СОРМ, приказ 86, (опционально)
.

1 поток E1

18 т.р.

(**) Количество потоков округляется вверх до чётного (на одном модуле iBase 4, 8 или 12 портов).

Дополнительные расходы оператора (оплата напрямую поставщикам)

Компонент

Кол-во

Стоимость

Сервер: процессор Intel I3, память 16Гб
(допускается виртуальный)
под ОС Linux (Debian 11 или Astra Linux SE)

1
(или 2 для резерва)

~ 48 т.р.

ПО ViPNet Client 4U for Linux + VipNet FireWall
пуско-наладкой и тех. поддержкой)
.

1

~ 12 т.р.

ОС Astra Linux Special Edition "Смоленск"
(На ВКС 24.08.23 ГРЧЦ 'смягчил' требования,
теперь можно использовать Debian 11)

1

~ 21 т.р.


Стоимость решения включает пуско-наладку системы "Антифрод" под ключ.
Предоплата 30%, остальные 70% после успешной сдачи Вашего узла верификации в ГРЧЦ.

Гарантия на оборудование составляет 3 года.
Мы (ООО "Астарта", ИНН 7802430096, ОГРН 1089847142967, зарегистрировано в 2008г) производим оборудование связи с 2009 года, сохраняя юридическое лицо и репутацию (отсутствие входящих исков).


Решения компании Астарта

Все права защищены c Астарта, 2009-2023 О компании Услуги Решения Продукты Поддержка Контакты
Политика конфиденциальности | Пользовательское соглашение | Авторские права