Informacje Lokalne

ZdrowiePOLSKALOKALNESWIATHYDEPARK

Audyt techniczny. Rosja

Opublikowano: 12.02.2026 | Autor: Grzegorz GPS Świderski | Ostatnia aktualizacja: 12.02.2026 03:12

Cel: ustalić, czy i jaki dostawca pośredniczy w ruchu do systemu (WAF/CDN/edge), oraz kto kończy TLS.

Krok 1. DNS — rekordy A/AAAA/CNAME oraz NS/SOA

Komenda

$hostName = "lkul.nalog.ru"

Resolve-DnsName $hostName -Type A
Resolve-DnsName $hostName -Type AAAA
Resolve-DnsName $hostName -Type CNAME

Resolve-DnsName "nalog.ru" -Type NS
Resolve-DnsName "nalog.ru" -Type SOA

Wynik

  • lkul.nalog.ruA = 213.24.64.178 (TTL 3600)
  • Strefa nalog.ru:
    • NS: ns3.nalog.ru, ns4.nalog.ru
    • SOA admin: defir_unixadmin.rt.ru

Interpretacja

To jest model „państwo trzyma wszystko u siebie”:

  • Brak CNAME do typowych globalnych pośredników (Cloudflare/Akamai/Imperva/Azure Front Door itd.).
  • Własne serwery NS w domenie nalog.ru.
  • W SOA administrator rt.ru – to wygląda na obsługę lub utrzymanie przez Rostelecom / infrastrukturę operatorską. To nie jest dowód na WAF, ale jest dowód na krajową warstwę telekomunikacyjno-hostingową.

Krok 2. HTTP/HTTPS — nagłówki odpowiedzi i ślady warstwy pośredniej

Komenda

curl.exe -vkI https://lkul.nalog.ru/ 2>&1

Wynik (kluczowe elementy)

  • HTTP/1.1 200 OK
  • Server: nginx
  • X-Powered-By: PHP/7.3.19
  • Set-Cookie: XSRF-TOKEN=...; samesite=lax
  • Set-Cookie: lkul_check_portal_session=...; httponly; samesite=lax
  • Brak nagłówków typowych dla CDN/WAF:
    • brak Via, brak X-Cache, brak CF-*, brak Akamai-*, brak X-Iinfo/Incapsula, brak „challenge”.

Interpretacja

To wygląda na bezpośredni front aplikacji, a nie na globalną usługę ochronną:

  • Dostajesz normalne 200 OK i normalne cookies aplikacyjne (XSRF + session).
  • Nie ma „śladu palca” znanych WAF-ów w nagłówkach.
  • Server: nginx bywa fałszowany, ale w zestawieniu z DNS i certyfikatem niżej – tu raczej jest prawdziwy.

Krok 3. TLS — certyfikat i łańcuch z OpenSSL

Komenda

openssl s_client `
  -connect lkul.nalog.ru:443 `
  -servername lkul.nalog.ru `
  -tls1_2 -showcerts

Wynik (kluczowe)

  • Certyfikat serwera: CN=*.nalog.ru
  • Issuer: GlobalSign GCC R3 DV TLS CA 2020
  • Łańcuch: GlobalSign (Root R3 → GCC R3 DV TLS CA 2020 → *.nalog.ru)
  • TLS:
    • Protocol: TLSv1.2
    • Cipher: ECDHE-RSA-AES256-GCM-SHA384
    • Secure Renegotiation IS supported
    • brak ALPN (czyli nie negocjuje HTTP/2)

Interpretacja

  1. *TLS kończony na infrastrukturze prezentującej certyfikat .nalog.ru. To ważne, bo gdyby siedział tu typowy globalny WAF/CDN, często widziałbyś albo ich cert/łańcuch, albo charakterystyczne cechy edge (np. wymuszone HTTP/2/3, specyficzne suites, dodatkowe nagłówki).
  2. CA = GlobalSign, DV. To jest dość „zachodnie” i „cywilne” (GlobalSign). Wniosek jest prosty: Rosja nie musi tu używać krajowego CA, a infrastruktura może być utrzymywana lokalnie mimo użycia globalnego urzędu certyfikacji. To nie jest wskaźnik WAF – to wskaźnik polityki certyfikatów.
  3. Brak ALPN, brak HTTP/2. To często koreluje z brakiem nowoczesnego edge/CDN, choć nie jest dowodem samym w sobie. W połączeniu z resztą: wygląda na „prosty, własny front”.

Wniosek końcowy: kto robi WAF / edge?

W skrócie: nie widać tutaj zewnętrznego WAF/CDN.

Najbardziej spójny obraz jest taki:

  • Edge/hosting jest krajowy (DNS i SOA wskazują na otoczenie rt.ru – operator/hosting).
  • Na froncie stoi nginx i klasyczny stos aplikacyjny (PHP + sesje + XSRF).
  • Brak identyfikowalnych sygnatur globalnych WAF-ów w nagłówkach i zachowaniu.
  • TLS jest negocjowany „normalnie”, bez cech typowych dla wielkich globalnych pośredników.

Ocena:
Jeżeli tu istnieje warstwa ochronna, to raczej lokalna (np. sprzętowy load balancer / IPS / państwowy filtr / własny reverse proxy), a nie usługa w rodzaju Imperva/Akamai/Cloudflare.

Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65

Dodaj komentarz: