Cel

Celem audytu jest ustalenie, czy system podatkowy Ukrainy korzysta z zewnętrznej infrastruktury typu WAF/CDN, czy też działa w modelu lokalnego, państwowego edge. Badany host: cabinet.tax.gov.ua

Krok 1 — DNS i infrastruktura sieciowa

Komenda

Resolve-DnsName cabinet.tax.gov.ua -Type A
Resolve-DnsName tax.gov.ua -Type NS
Resolve-DnsName tax.gov.ua -Type SOA

Wynik (skrót)

• IP: 193.200.32.30
• DNS: ns1.tax.gov.ua, ns2.tax.gov.ua
• dodatkowo: ns2.volia.net, ns3.volia.net
• brak CNAME do CDN
• brak adresów hyperscalera (Azure, AWS, GCP)

Interpretacja

To wskazuje na:

• bezpośredni adres serwera państwowego
• własną strefę DNS
• brak pośredników typu Cloudflare / Akamai / Imperva

Już na tym etapie Ukraina wygląda na system hostowany lokalnie, bez zewnętrznego edge WAF.

Krok 2 — HTTP/HTTPS i nagłówki

Komenda

curl.exe -vkI https://cabinet.tax.gov.ua/

Wynik (kluczowe nagłówki)

• HTTP/1.1 200 OK
• server: nginx/1.25.3
• brak nagłówków CDN (Via, X-Cache, CF-Ray, Akamai, Incapsula)
• brak cookies charakterystycznych dla WAF
• Strict-Transport-Security
• TLS renegocjacja po stronie serwera

Interpretacja

To oznacza:

1. Brak zewnętrznego WAF/CDN. Gdyby był — pojawiłyby się identyfikatory dostawcy.
2. Edge wygląda na lokalny reverse-proxy nginx. Typowa konfiguracja państwowego hostingu.
3. Renegocjacja TLS. Cechy konfiguracji bezpieczeństwa, nie fingerprint WAF.

Wniosek po Kroku 2: Ukraina używa lokalnego frontendu nginx, a nie globalnej chmury ochronnej.

Krok 3 — TLS i certyfikat

Komenda

openssl s_client -connect cabinet.tax.gov.ua:443 -servername cabinet.tax.gov.ua -tls1_2 -showcerts

Wynik

• brak certyfikatu serwera
• handshake kończy się alertem:

tlsv1 alert protocol version

• brak negocjacji szyfru
• brak ALPN
• brak renegocjacji secure
• odczytane tylko 7 bajtów

Interpretacja

To jest kluczowy rezultat. Możliwe scenariusze:

1. TLS działa tylko dla wyższych wersji / innego profilu klienta

Serwer może:

• wymuszać TLS 1.3
• wymagać konkretnego zestawu szyfrów
• stosować filtr klienta

2. TLS terminowany w innym miejscu (SNI / filtr sieciowy)

Możliwa architektura:

• firewall / IPS przed nginx
• segmentacja ruchu
• selektywne dopuszczanie klientów

3. Ochrona wojskowa / infrastruktura krytyczna

W warunkach wojny:

• celowe utrudnianie fingerprintingu
• niestandardowe polityki TLS
• filtracja ruchu zagranicznego

To zupełnie inny model niż w UE.

Wniosek końcowy — architektura bezpieczeństwa Ukrainy

Najważniejsze ustalenia

1. Brak globalnego WAF/CDN. Nie ma Cloudflare, Imperva, Akamai ani hyperscalerów.

2. Infrastruktura lokalna / państwowa

• własny DNS
• własny serwer edge
• nginx jako frontend

3. Niestandardowa polityka TLS

• brak ujawnienia certyfikatu
• alert wersji protokołu
• możliwa filtracja klientów

To jest model suwerennościowy, nie outsourcing bezpieczeństwa.

Porównanie cywilizacyjne

Ukraina

• lokalna infrastruktura
• brak globalnych pośredników
• utrudniony fingerprinting
• model wojenno-państwowy

Polska

• globalny WAF
• chmura zagraniczna
• pełna widoczność metadanych
• model outsourcingu bezpieczeństwa

Ostateczna ocena

Ukraina stosuje najbardziej suwerenny model infrastruktury podatkowej spośród dotychczas badanych krajów europejskich.

Brak zewnętrznego WAF nie oznacza słabości. Może oznaczać świadomą decyzję strategiczną: kontrola ważniejsza niż wygoda chmury.

Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65