Audyt infrastruktury e-faktury

System: ebelge.gib.gov.tr

1. DNS i delegacja strefy

Komendy

Resolve-DnsName ebelge.gib.gov.tr -Type A
Resolve-DnsName ebelge.gib.gov.tr -Type AAAA
Resolve-DnsName ebelge.gib.gov.tr -Type CNAME

Resolve-DnsName gib.gov.tr -Type NS
Resolve-DnsName gib.gov.tr -Type SOA

Wynik

• ebelge.gib.gov.tr → 212.133.164.88
• Brak AAAA
• Brak CNAME
• Delegacja DNS:
  • ns01.gib.gov.tr
  • ns02.gib.gov.tr
  • ns03.gib.gov.tr
• SOA: hostmaster.gib.gov.tr, niski TTL (300)

Interpretacja

To jest pierwsza fundamentalna różnica względem wielu systemów UE. Nie widać zewnętrznego CDN/WAF na poziomie DNS.

Brak:

• Cloudflare
• Akamai
• Fastly
• Azure Front Door
• Imperva CDN

DNS jest w pełni państwowy i lokalny. To oznacza model suwerenność infrastrukturalna na poziomie strefy DNS zamiast modelu „outsourcing bezpieczeństwa do globalnego operatora”.

Ale to jeszcze nie wyklucza WAF — mógł zostać:

• wdrożony on-premise,
• schowany za reverse proxy,
• zintegrowany sprzętowo w centrum danych.

Dlatego kluczowy jest HTTP i TLS.

2. Zachowanie HTTP

Komenda

curl.exe -vkI https://ebelge.gib.gov.tr/

Wynik

• HTTP 302 → ./anasayfa.html
• Nagłówek: Server: GIB
• Brak:
  • cloudflare
  • akamai
  • imperva
  • azure
  • fastly
  • typowych cookies WAF
• Literówka: Cneonction: close

Interpretacja

To jest bardzo mocny sygnał architektoniczny.

1. Brak sygnatur CDN/WAF

Nie ma żadnych śladów:

• globalnego reverse proxy,
• filtracji ruchu przez operatora zewnętrznego,
• nagłówków bezpieczeństwa typowych dla usług SaaS.

To oznacza:

front HTTP jest lokalny, rządowy lub co najmniej self-hosted.

2. Server: GIB

To niezwykle rzadkie w systemach państwowych UE. Zwykle widzimy:

• ukryte server
• neutralne nginx
• maskowanie wersji

Tutaj jest jawna identyfikacja instytucji państwowej w nagłówku serwera.

To sugeruje:

• brak presji compliance z globalnymi standardami hardeningu,
• albo świadomą decyzję: system jest wewnętrzny i chroniony inaczej.

3. Literówka w nagłówku (Cneonction)

To detal, ale ważny. Wskazuje, że:

• nagłówki generuje własny stos aplikacyjny albo niestandardowa konfiguracja proxy,
• a nie dopracowany globalny CDN.

To drobiazg, ale w audytach infrastruktury takie drobiazgi zdradzają poziom „ręcznego” zarządzania systemem.

Wniosek strategiczny — Turcja vs UE

Na tle wcześniejszych krajów widać trzy modele:

Model A — Polska

Charakterystyka:

• CDN/WAF globalnych firm
• TLS terminowany poza państwem
• infrastruktura rozproszona

To model bezpieczeństwo przez skalę korporacyjną kosztem suwerenności danych.

Model B — Ukraina / Rosja

Charakterystyka:

• infrastruktura lokalna
• brak globalnych CDN
• własne centra danych

To model:

suwerenność wymuszona geopolitycznie.

Model C — Turcja

To przypadek najciekawszy. Nie jest:

• w UE
• w pełnej izolacji jak Rosja

A mimo to utrzymuje krytyczny system fiskalny całkowicie lokalnie.

To oznacza świadomą politykę cyfrowej suwerenności państwa. Nie wynik wojny. Nie wynik sankcji. Tylko decyzję strategiczną.

Wniosek cywilizacyjny

Patrząc szerzej:

• UE → centralizacja przez korporacje
• Wschód → suwerenność przez przymus
• Turcja → suwerenność przez wybór

To czyni Turcję najbardziej interesującym przypadkiem architektury fiskalnej poza UE bo pokazuje, że suwerenność cyfrowa jest możliwa bez izolacji.

Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65