FORUM
ID
ID TABLICA Niezalogowany
GPS
Autor: GPS
Opublikowano: 16.02.2026 | Ostatnia aktualizacja: 17.05.2026 18:58 | 👁 23

Audyt techniczny. Argentyna

Warstwa brzegowa systemu e-faktury (WSFEv1) – produkcja i homologacja

Cel audytu

Celem jest ustalenie, czy integracyjne endpointy e-faktury w Argentynie:
    • korzystają z globalnego WAF/CDN-as-a-Service (reverse-proxy w data-plane),
    • delegują DNS do vendorów,
    • ujawniają fingerprinty pośredników (edge/WAF),
    • czy działają w modelu suwerennej infrastruktury państwowej.
Audyt wykonano z sieci publicznej, bez uwierzytelnienia. Badane hosty: 
servicios1.afip.gov.ar   (produkcja)
wswhomo.afip.gov.ar      (homologacja/test)

1. DNS – rekordy A / AAAA / CNAME + NS/SOA

Komenda

$hosts = @(
  "servicios1.afip.gov.ar",
  "wswhomo.afip.gov.ar"
)

foreach($h in $hosts){
  foreach($t in "A","AAAA","CNAME"){
    Resolve-DnsName $h -Type $t
  }
  Resolve-DnsName "afip.gov.ar" -Type NS
  Resolve-DnsName "afip.gov.ar" -Type SOA
}

Wynik

servicios1.afip.gov.ar

    • A: 200.1.116.53
    • AAAA: brak
    • CNAME: brak

wswhomo.afip.gov.ar

    • A: 200.1.116.57
    • AAAA: brak
    • CNAME: brak
Strefa afip.gov.ar:
    • NS: ns1.afip.gov.ar, ns2.afip.gov.ar, ns1s.afip.gov.ar, ns2s.afip.gov.ar
    • SOA: ns1.afip.gov.ar, admin deinco.afip.gov.ar

Interpretacja

W obu przypadkach:
    • brak CNAME do vendorów typu Cloudflare/Akamai/Imperva/Fastly/AzureFD,
    • bezpośrednie rekordy A,
    • własne serwery DNS w domenie afip.gov.ar.
To jest klasyczny wzorzec państwowy control-plane i brak vendor-edge już na poziomie DNS.

Wniosek cząstkowy

DNS: infrastruktura państwowa, bez delegacji do globalnego CDN/WAF-as-a-Service.

2. HTTP – fingerprint warstwy brzegowej

Komenda (produkcja)

curl.exe -vkI "https://servicios1.afip.gov.ar/" 2>&1

Wynik (produkcja)

HTTP/1.0 200 OK
Connection: Keep-Alive
Content-Length: 41

Interpretacja

Zwracany jest minimalny, „goły” HTTP/1.0 bez typowych nagłówków CDN/WAF. Nie ma fingerprintów globalnych vendorów (cf-ray, AkamaiGHost, X-CDN/Imperva, x-azure-ref itd.). To wygląda jak bezpośredni origin lub bardzo prosty lokalny front, bez globalnego edge.

Wniosek cząstkowy

Produkcja: brak śladów globalnego CDN/WAF w nagłówkach HTTP.

Komenda (homologacja)

curl.exe -vkI "https://wswhomo.afip.gov.ar/" 2>&1

Wynik (homologacja)

curl: (56) Recv failure: Connection was reset

Interpretacja

Reset połączenia nie jest dowodem vendor-edge. To częsty wzorzec w systemach testowych:
    • blokada HEAD,
    • specyficzna polityka firewall/WAF,
    • wymóg wejścia inną ścieżką (np. konkretny URL usługi),
    • lub restrykcje na poziomie handshake/renegocjacji.
Z punktu widzenia tezy kluczowe jest to, że reset nie ujawnia fingerprintów globalnego CDN/WAF-as-a-Service.

Wniosek cząstkowy

Homologacja: restrykcyjna polityka połączeń, ale bez sygnałów globalnego vendor-edge.

3. TLS – certyfikaty

Komenda

$h = "servicios1.afip.gov.ar"
$req = [System.Net.HttpWebRequest]::Create("https://$h/")
$req.Method = "GET"
$req.AllowAutoRedirect = $false
try { $resp = $req.GetResponse() } catch { $resp = $_.Exception.Response }
$cert = $req.ServicePoint.Certificate
$cert.Subject
$cert.Issuer
$cert.GetEffectiveDateString()
$cert.GetExpirationDateString()
Analogicznie dla wswhomo.afip.gov.ar.

Wynik – produkcja (servicios1.afip.gov.ar)

Subject: CN=servicios1.afip.gov.ar,
         O=AGENCIA DE RECAUDACION Y CONTROL ADUANERO,
         C=AR

Issuer : Sectigo Public Server Authentication CA OV R36
Valid  : 06.10.2025 – 19.10.2026

Interpretacja

Certyfikat jest:
    • dedykowany dla hosta AFIP,
    • z tożsamością instytucji argentyńskiej,
    • wystawiony przez komercyjny CA (Sectigo OV),
    • bez sygnatur vendor-edge CDN/WAF.

Wniosek cząstkowy

Produkcja: TLS bez oznak terminacji przez globalny CDN/WAF-as-a-Service.

Wynik – homologacja (wswhomo.afip.gov.ar)

Subject: CN=*.afip.gob.ar,
         O=AGENCIA DE RECAUDACION Y CONTROL ADUANERO,
         C=AR

Issuer : SSL.com RSA SSL subCA
Valid  : 04.08.2025 – 26.07.2026

Interpretacja

Homologacja używa innego certyfikatu (wildcard *.afip.gob.ar) i innego CA (SSL.com). To pokazuje:
    • rozdzielenie środowisk,
    • inną politykę certów,
    • ale nadal brak śladu globalnego vendor-edge.

Wniosek cząstkowy

Homologacja: inny cert i CA, bez oznak vendor-edge.

4. Synteza techniczna (Argentyna)

DNS

    • bezpośrednie rekordy A dla produkcji i homologacji,
    • brak CNAME do vendorów,
    • własne NS/SOA w domenie AFIP.

HTTP

    • produkcja: minimalna odpowiedź HTTP/1.0 200 OK bez fingerprintów CDN/WAF,
    • homologacja: reset połączenia (restrykcje), bez ujawnienia vendor-edge.

TLS

    • certy z identyfikacją instytucji państwowej,
    • różne certy/CA dla prod i test,
    • brak sygnałów globalnego CDN/WAF-as-a-Service.

5. Wniosek końcowy dla Argentyny

System e-faktury AFIP (WSFEv1) działa w modelu suwerennej infrastruktury państwowej, bez delegacji data-plane do globalnego WAF/CDN-as-a-Service. W homologacji widoczna jest restrykcyjna polityka połączeń, ale nie zmienia to wniosku o braku globalnego vendor-edge. Klasyfikacja architektury: ➡️ Państwowy edge (on-prem / krajowe IP) + brak globalnego CDN/WAF w DNS/HTTP/TLS.

6. Ocena końcowa audytu

Status: Brak dowodów na globalny WAF/CDN reverse-proxy w data-plane. Model infrastrukturalny: ➡️ Suwerenny państwowy edge (bez CNAME, własne NS) + instytucjonalne certy TLS. Wpływ na hipotezę badawczą: ➡️ Wzmacnia tezę, że globalne systemy clearance zwykle nie oddają data-plane vendorom WAF-as-a-Service – co podbija kontrast do Polski.

Grzegorz GPS Świderski Kanał Blogera GPS GPS i Przyjaciele X.GPS65