Решения
Сертификаты
СОРМ на существующей сети
Выбор абонентом альтернативных МГ/МН операторов
Географически распределенная АТС
Городская Цифровая АТС
Повременной учет стоимости разговоров
Мультисервисный конвертер сигнализаций
Магистральный коммутатор серии SS
Система записи разговоров iMemo
Цифровой автосекретарь iWELCOME
Система охраны клиентской базы iSECRET
Телекоммуникационная платформа iBASE
Система аудиоконференцсвязи "Президент"
Платформа NGN
Шлюз IP телефонии iGate
Карточная система SPIN
VoIP - 'внутри своей сети'
VoIP - 'снаружи своей сети'
VoIP - 'транспортная база'





Система "Антифрод" для блокировки звонков с подменных номеров

 

Введение

Система "Антифрод" для блокировки звонков с подменных номеров от Астарта представляет собой программно-аппаратный комплекс, связывающий АТС оператора связи и узел верификации. (Постановление Правительства РФ от 03.11.2022 N 1978, N 1979).

АТС оператора, в данном контексте, интересна в разрезе вызовов между собственной номерной емкостью и другими операторами связи. При этом рассматривается использование E1 потоков по сигнализациям ОКС7, 2ВСК, EDS1 PRI или IP связи по сигнализации SIP.

Работа системы обеспечивается двумя основными функциональными элементами, обменивающимися информацией о вызовах по защищенному каналу связи.
ЦСУ (Центральная Система Управления) – управляет процессом проверки подлинности абонентских номеров и выявляет нарушения требований оказания услуг связи. Является серверной частью, установлена у государственного регулятора.
УВР (Узел Верификации) – клиентская часть, находится у оператора связи, выполняет функции проверки при установлении соединений в сети связи.
Модуль верификации – ПО исполняемое на УВР, отвечающее за стыковку с АТС оператора. Именно этой части посвящена данная страница.
КВр (Компонент верификации) – ПО исполняемое на УВР, отвечающее за стыковку УВР с ЦСУ. Предоставляется ГРЧЦ.

Проблема

Протокол взаимодействия системы "Антифрод" никак не связан со стандартными телефонными сигнализациями и протоколами. Никакая АТС сама по себе не сможет состыковаться с таким интерфейсом.

Рано или поздно каждый российский производитель АТС реализует поддержку этого интерфейса и оператору останется обновить ПО, оплатив приемлемую стоимость за новую опцию в АТС. Но что делать, если производитель не российский или стоимость не приемлемая или 'или поздно'? Тогда на помощь придёт Астарта!

Решение

Основные подходы к решению проблемы, не предполагающие замены АТС или обновления ПО на ней.

Первый подход: если АТС оператора поддерживает RADIUS Authorization, тогда подойдёт типовой модуль Астарта-Радиус, транслирующий протокол RADIUS Authorization в протокол "Антифрода".
   АТС оператора связи, перед пропуском вызова, отправляет сообщение RADIUS:Access-Request в ПО Астарта, которое, в свою очередь, запрашивает разрешение на пропуск входящего вызова у УВР. В случае положительного ответа от УВР (или превышения тайм-аута 500мс), ПО Астарта отправляет в АТС оператора ответ RADIUS:Access-Accept. В случае запрета вызова, в АТС оператора отправляется RADIUS:Access-Reject. Исходящие вызовы подтверждаются сразу.
   Этот подход ограничивается установкой ПО на сервер оператора (тот же, на котором ПО от ГРЧЦ и VipNet) и не требует специфического 'железа'.
   Если у АТС Radius интерфейс уже 'занят' билинговой программой, допускается подключение "Астарты" в разрыв трафика, т.е. АТС шлёт Radius-Access-Request запросы на "Астарту", а она прозрачно ретранслирует их на билинг. Аналогично ретранслируются ответы. Только в случае необходимости прервать вызов, ответ от билинга Radius-Access-Accept будет подменён на Radius-Access-Reject. Аналогичным образом "Астарта" включается в разрыв RADIUS Accounting трафика между АТС и биллинговой программой (при необходимости Accounting).
   Проведены заводские испытания совместимости с цифровыми шлюзами SMG компании "Элтекс", протокол здесь.

   Проверьте возможности своей АТС подключившись к нашему тестовому УВр по Radius.

Второй подход: если АТС оператора поддерживает ReRouting (повторная маршрутизация вызова в зависимости от причины отбоя первой попытки), тогда подойдёт типовой модуль Астарта-Рероутинг, передающий решение УВр о пропуске вызова в причине отбоя (E1: CV 34 – разрешить вызов, CV 17 – запретить вызов; SIP: 403 – разрешить вызов, 486 – запретить вызов).
   В такой конфигурации АТС оператора соединяется с ПО Астарта по SIP транку или по потоку E1 с сигнализацией ОКС7 / EDSS1 PRI (в случае E1 дополнительно поставляется модуль потока E1).
   Модуль Астарта-Рероутинг располагается на территории оператора связи, подключение по SIP (или E1) локально (в одной стойке, а не через Интернет к сторонней АТС). Таким образом, оператор реализует собственный УВр и "модуль верификации", подключаясь к ИС «Антифрод» напрямую.
   Второй подход с верификацией по SIP ограничивается установкой ПО на сервер оператора. При подключении по E1 потоку добавляется 1 Unit 19’’ блок E1-Eth в стойку оператора.

   Проверьте возможности своей АТС подключившись к нашему тестовому УВр по SIP.

Третий подход: подключение в разрыв линий связи (Intervention) в точке стыка АТС со сторонними операторами. Это позволит контролировать исходящие и входящие вызовы непосредственно в 'проводах'. Такое подключение позволяет отслеживать момент начала вызова (с номерами Calling, Called, Redirect), а также позволяет прерывать вызов в любой момент. Допускается подключение:

  • в разрыв E1 потоков (сигнализация ОКС7, 2ВСК, EDSS1 PRI).
  • в разрыв Ethernet кабеля (сигнализация SIP (UDP));
  • логичсеский 'разрыв' SIP трафика, по технологии SIP Proxy (не показан на схеме);

Схема интеграции модуля верификации Астарта

Компанией Астарта разработано специализированное ПО для этой цели, позволяющее подключаться в разрыв 'проводов' специфическим способом, не требующим каких-либо настроек сигнализаций (поинт-код OPC/DPC, ip адреса и т.д.). 'Классическое' подключение в разрыв E1 ОКС7 обычным коммутатором потоков подразумевает полноценное поднятие сигнализаций ОКС7 в оба получившихся потока - это влечёт за собой потерю 'прозрачности' ISUP сообщений при прохождении вызова через коммутатор с рисками изменения CIC и прочих полей, например, IAM сообщения. Для оператора связи это целое мероприятие по пуско-наладке нового коммутатора.
'Специфическое' решение от Астарты самостоятельно поднимает первый транспортный MTP (LAPD/Ethernet) уровень, не требующий настроек, пропуская все ISUP (Q.931/SIP) сообщения полностью прозрачно. Плюсы специфического решения:
  • отсутствие задержки входящих вызовов (до 500мс), которая есть в первых двух подходах;
  • возможность прервать вызов 'мошенника' позже тайм-аута в 500мс (полезно в случае 'медлительности' связки УВр-УВз-УВр);
  • прерванные вызовы не 'выпадут' из СОРМа и тарификации - они будут помечены специальной причиной разъединения CV 50 (не офиц. зарезервирована под Антифрод);
  • сбор исторических данных доступен непосредственно с 'проводов';
  • чисто голосовые потоки E1 (которые без сигнального тайм-слота) не требуется 'разрывать';
  • никакие сообщения сигнализации (IAM, SETUP, INVITE, ...) не будет изменены, признаки номера не будут потеряны, нумерация каналов (CIC, CallRef) не будут пересчитана;
  • никакие SIP сообщения не будут модифицированы (кроме подхода SIP Proxy);
  • нет необходимости в настройке какой-либо конфигурации, связанной с MTP или ISUP или SIP (кроме подхода SIP Proxy);
  • в случае отказа сервера или сети, оборудование Астарта iBase автоматически переходит в режим 'bypass', сохраняя 'link' между операторами (связь остаётся доступной);
  • в случае отказа оборудования Астарта iBase (что маловероятно), можно соединить 'разорванный' кабель через перекрёстный бочонок;
  • в целях повышения отказоустойчивости, модули Астарта iBase состоят из отдельных плат по 4 порта (разрыв 2-ух потоков), позволяя пропускать дублирующие сигнальные линки (обычно их два) одного ОКС7 направления через разные платы;
  • возможна попутная запись разговоров в целях реализации СОРМа для 'Яровой' (приказ 86).
Получившейся системе остаётся контролировать 'пролетающие' через неё ISUP (Q.931/SIP) сообщения. В зависимости от выбранной стратегии, допускается два подхода к прерыванию запрещённых вызовов:
  • Прерывание: вызовы пропускаются моментально, а в случае запрета (через 500 мс) 'вдогонку' обоим участникам соединения отправляется отбой (CV 50) - к вызываемому и обратно к вызывающему абоненту. Если даже наш вызываемый абонент и увидит пропущенный вызов от мошенника, то он не сможет перезвонить ему, т.к. вызывающий номер был поддельный.
  • Подавление: все входящие сообщения IAM (SETUP/INVITE) об инициации вызова задерживаются на 500 мс и подавляются в случае, если узел верификации выдал запрет на прохождение вызова. При получении такого запрета в сторону вызывающего отправляется отбой, а наш вызываемый абонент уже не получает сообщения о вызове вовсе (оно окажется 'вырезано' из трафика).
Лучшим вариантом является прерывание, т.к. эта стратегия не вносит задержек в связь, не 'прячет' прерванные вызовы от СОРМа и явно обозначена в законе. Цитата из ПП 1978:
“ … оператор связи … в течение 500 миллисекунд с момента направления им … сведений, …, получает из системы … сведения о нарушении … и должен прекратить установление соединения”.

Сертификаты

  • В части шифрованной связи по VipNet, предоставляется лицензированным установщиком.
  • В части ПО на сервере не требуются (т.к. используется "компонент верификации" от ГРЧЦ).
  • В части оборудования Астарта iBase, включаемого в ТфоП по E1 потокам, получен ССС.
  • В части услуги пуско-наладки, лицензирование не требуется.
  • Аттестация объекта УВр не требуется (объявлено 24.08.23 на ВКС представителем ГРЧЦ).

Стоимость решения для первого и второго подходов

Компонент

Кол-во

Стоимость

Сервер (допускается виртуальный)
.
.

1 или 2

(предоставляется оператором)

Управляющее ПО и пуско-наладка под ключ
.
.

1

135 т.р.

Оборудование Астарта iBase, стык с АТС по E1
(второй подход и АТС не поддерживает SIP)
.

1 модуль
(4 порта E1)

56 т.р.

Мощность (пропускная способность) системы
(не применяется для третьего подхода)
.

1 'Ампер' (*)

1 т.р.

(*) Мощность (пропускная способность) системы ограничивает максимально возможное количество вызовов (входящих + исходящих инициаций) в месяц. Двадцать тысяч вызовов соответствует одному 'Амперу'. Оплата единоразовая, а не ежемесячная.

Стоимость решения для третьего подхода

Компонент

Кол-во

Стоимость

Сервер (допускается виртуальный)
.
.

1 или 2

(предоставляется оператором)

Управляющее ПО и пуско-наладка под ключ
.
.

1

135 т.р.

Оборудование Астарта iBase
для сигнальных+голосовых E1 потоков (**)
.

1 поток E1
(занимает 2 порта)

28 т.р.

Резервирование входа питания и блока питания
(для модуля на 4/8/12 портов E1)
.

1
AC,AC/DC,DC/AC,DC

5 т.р.

Лицензия для чисто голосовых ОКС7 E1 потоков
(эти потоки не требуют подключения к iBase)
.

1 поток E1

14 т.р.

Лицензия для контроля SIP соединений
.
.

30 разговоров
(одновременных)

14 т.р.

Запись разговоров для СОРМ, приказ 86, (опционально)
.

1 поток E1

18 т.р.

(**) Количество потоков округляется вверх до чётного (на одном модуле iBase 4, 8 или 12 портов).

Дополнительные расходы оператора (оплата напрямую поставщикам)

Компонент

Кол-во

Стоимость

Сервер: процессор Intel I3, память 16Гб
(допускается виртуальный)
под ОС Linux (Debian 11 или Astra Linux SE)

1
(или 2 для резерва)

~ 48 т.р.

ПО ViPNet Client 4U for Linux + VipNet FireWall
пуско-наладкой и тех. поддержкой)
.

1

~ 12 т.р.

ОС Astra Linux Special Edition "Смоленск"
(На ВКС 24.08.23 ГРЧЦ 'смягчил' требования,
теперь можно использовать Debian 11)

1

~ 21 т.р.

Стоимость решения включает пуско-наладку системы "Антифрод" под ключ.
Предоплата 30%, остальные 70% после успешной сдачи Вашего узла верификации в ГРЧЦ.

Гарантия на оборудование составляет 3 года.
Мы (ООО "Астарта", ИНН 7802430096, ОГРН 1089847142967, зарегистрировано в 2008г) производим оборудование связи с 2009 года, сохраняя юридическое лицо и репутацию (отсутствие входящих исков).


Решения компании Астарта

Все права защищены c Астарта, 2009-2023 О компании Услуги Решения Продукты Поддержка Контакты
Политика конфиденциальности | Пользовательское соглашение | Авторские права