FORUM
ID
ID TABLICA Niezalogowany
GPS
Autor: GPS
Opublikowano: 16.02.2026 | Ostatnia aktualizacja: 17.05.2026 18:59 | 👁 24

Audyt techniczny. Chile

Warstwa brzegowa systemu faktury elektronicznej DTE

Cel audytu

Celem jest ustalenie, czy publiczny punkt infrastruktury faktury elektronicznej w Chile:
    • korzysta z globalnego WAF/CDN-as-a-Service w torze transmisji (data-plane),
    • deleguje DNS do zewnętrznych vendorów,
    • ujawnia fingerprinty reverse-proxy,
    • czy też działa w modelu państwowego edge z lokalną ochroną aplikacyjną.
Audyt wykonano z sieci publicznej, bez uwierzytelnienia. Badany host: 
maullin.sii.cl

1. DNS – rekordy A / AAAA / CNAME

Komenda

$h = "maullin.sii.cl"

foreach($t in "A","AAAA","CNAME"){
  Resolve-DnsName $h -Type $t
}

Wynik

    • A: 200.10.251.220 (również widoczny alternatywny adres 200.10.252.220)
    • AAAA: brak rekordu
    • CNAME: brak (zwracany SOA strefy)

Interpretacja

Brak rekordu CNAME oznacza, że ruch nie jest przekierowany do globalnego dostawcy CDN/WAF (Cloudflare, Akamai, Imperva, Fastly, Azure Front Door itd.). Adresy IPv4 wskazują na lokalną infrastrukturę krajową, a nie hyperscaler publiczny.

Wniosek cząstkowy

Brak delegacji DNS do globalnego vendor-edge.

2. DNS – kontrola strefy (NS / SOA)

Komenda

Resolve-DnsName "sii.cl" -Type NS
Resolve-DnsName "sii.cl" -Type SOA

Wynik

NS: ns01.sii.cl
    ns02.sii.cl
    ns03.sii.cl
SOA:
PrimaryServer: ns01.sii.cl

Interpretacja

Serwery nazw znajdują się wewnątrz domeny państwowej SII. Oznacza to pełną kontrolę państwa nad warstwą DNS bez outsourcingu control-plane.

Wniosek cząstkowy

DNS utrzymywany lokalnie przez administrację skarbową.

3. HTTP – fingerprint warstwy brzegowej

Komenda

curl.exe -vkI "https://maullin.sii.cl/" 2>&1

Wynik (fragment)

HTTP/1.1 200 OK
Strict-Transport-Security: max-age=16070400; includeSubDomains
Content-Type: text/html
Set-Cookie: TS01060268=...

Interpretacja

Brak fingerprintów globalnych CDN/WAF

Nie występują nagłówki charakterystyczne dla:
    • Cloudflare (cf-ray, server: cloudflare)
    • Akamai (AkamaiGHost, akamai-*)
    • Imperva (X-CDN, incap_*)
    • Azure Front Door / Fastly (x-azure-ref, via, edge-*)

Obecność ciasteczka TS…

Cookie zaczynające się od: TS01060268=… jest charakterystyczne dla: lokalnych urządzeń klasy F5 BIG-IP / ASM / WAF działających jako reverse-proxy w infrastrukturze własnej. To oznacza:
    • istnieje warstwa pośrednia ochrony aplikacyjnej,
    • ale zlokalizowana w infrastrukturze państwowej, nie w globalnym CDN-as-a-Service.

Wniosek cząstkowy

Prawdopodobny lokalny WAF / load balancer klasy F5, bez vendor-edge.

4. TLS – certyfikat

Komenda

$req = [System.Net.HttpWebRequest]::Create("https://maullin.sii.cl/")
$req.Method = "GET"
$req.AllowAutoRedirect = $false
try { $resp = $req.GetResponse() } catch { $resp = $_.Exception.Response }

$cert = $req.ServicePoint.Certificate
$cert.Subject
$cert.Issuer
$cert.GetEffectiveDateString()
$cert.GetExpirationDateString()

Wynik

Subject: CN=maullin.sii.cl,
         O=SERVICIO DE IMPUESTOS INTERNOS,
         C=CL
Issuer : GlobalSign RSA OV SSL CA 2018
Valid  : 26.09.2025 – 28.10.2026

Interpretacja

Certyfikat:
    • wystawiony bezpośrednio dla instytucji państwowej SII,
    • brak sygnatur charakterystycznych dla globalnego edge CDN/WAF,
    • spójny z lokalną terminacją TLS w infrastrukturze własnej.

Wniosek cząstkowy

Brak przesłanek terminacji TLS przez globalny vendor-edge.

5. Synteza techniczna

DNS

    • brak CNAME do CDN/WAF
    • lokalne NS/SOA w domenie państwowej

HTTP

    • brak fingerprintów globalnych vendorów
    • obecność cookie wskazującego na lokalny WAF F5

TLS

    • certyfikat instytucjonalny SII
    • brak oznak globalnej terminacji edge

6. Wniosek końcowy dla Chile

Publiczna infrastruktura DTE w Chile nie korzysta z globalnego WAF/CDN-as-a-Service w torze transmisji, lecz działa w modelu państwowego edge z lokalnym WAF sprzętowym. ➡️ Klasyfikacja architektury: Państwowa infrastruktura + lokalny reverse-proxy/WAF (on-prem).

7. Znaczenie porównawcze (globalne)

Po analizie:
    • Brazylia – państwowy origin bez vendor-edge
    • Meksyk – chmura hyperscalera bez globalnego WAF
    • Chile – państwowy edge z lokalnym WAF sprzętowym
widzimy wspólną cechę: brak delegacji data-plane do globalnego WAF-as-a-Service w dużych systemach clearance Ameryki Łacińskiej.

8. Ocena końcowa audytu

Status: Brak dowodów na globalny CDN/WAF reverse-proxy. Model infrastrukturalny: ➡️ Suwerenny edge państwowy + lokalna ochrona aplikacyjna. Wpływ na hipotezę badawczą: ➡️ Wzmacnia tezę o architektonicznej wyjątkowości Polski, jeśli w Polsce występuje globalny vendor-edge w torze transmisji fiskalnej.

Grzegorz GPS Świderski Kanał Blogera GPS GPS i Przyjaciele X.GPS65