FORUM
ID
ID TABLICA Niezalogowany
GPS
Autor: GPS
Opublikowano: 16.02.2026 | Ostatnia aktualizacja: 17.05.2026 18:59 | 👁 13

Audyt techniczny. Brazylia

Warstwa brzegowa systemu clearance B2B

Cel audytu

Celem jest ustalenie, czy publiczny punkt wejścia do systemu faktur elektronicznych NF-e w Brazylii:
    • korzysta z globalnego WAF/CDN-as-a-Service w torze transmisji,
    • deleguje DNS do zewnętrznego operatora,
    • ujawnia fingerprinty reverse-proxy,
    • czy też działa w modelu lokalnego, państwowego edge.
Audyt wykonano z sieci publicznej, bez uwierzytelnienia. Badany host: 
www.nfe.fazenda.gov.br

1. DNS – rekordy A / AAAA / CNAME

Komenda

$h = "www.nfe.fazenda.gov.br"

foreach($t in "A","AAAA","CNAME"){
  Resolve-DnsName $h -Type $t
}

Wynik

    • A: 200.198.239.19
    • AAAA: brak rekordu
    • CNAME: brak (zwracany SOA strefy)
SOA domeny: 
Primary: bsa1.serpro.gov.br
Admin:   hostmaster.serpro.gov.br

Interpretacja

Brak CNAME oznacza ruch nie jest kierowany do globalnego dostawcy CDN/WAF. SOA wskazuje na SERPRO – federalnego operatora IT Brazylii. To sugeruje DNS i infrastruktura należą do państwa, nie do zewnętrznego vendor-edge.

Wniosek cząstkowy

Brak delegacji DNS do globalnego WAF/CDN.

2. Odpowiedź HTTP – fingerprint warstwy brzegowej

Komenda

curl.exe -vkI "https://www.nfe.fazenda.gov.br/"

Wynik

HTTP/1.1 302 Object moved
Location: /portal
Server: Microsoft-IIS/10.0
Set-Cookie: ASPSESSIONID...
X-Powered-By: ASP.NET

Interpretacja

Nie występują nagłówki charakterystyczne dla:
    • Cloudflare (cf-ray, server: cloudflare)
    • Imperva (X-CDN: Imperva, incap_*)
    • Akamai (akamai-*, AkamaiGHost)
    • innych CDN/WAF (Via, X-Cache, Edge-*)
Widoczny jest bezpośredni origin IIS/ASP.NET. To oznacza brak rozpoznawalnego reverse-proxy WAF/CDN w data-plane.

Wniosek cząstkowy

Warstwa HTTP wygląda na lokalny serwer aplikacyjny, nie globalny edge.

3. Certyfikat TLS – własność i terminacja

Komenda

$req = [System.Net.HttpWebRequest]::Create("https://www.nfe.fazenda.gov.br/")
$req.Method = "GET"
$req.AllowAutoRedirect = $false
try { $resp = $req.GetResponse() } catch { $resp = $_.Exception.Response }

$cert = $req.ServicePoint.Certificate
$cert.Subject
$cert.Issuer
$cert.GetEffectiveDateString()
$cert.GetExpirationDateString()

Wynik

Subject: CN=www.nfe.fazenda.gov.br
Issuer : CN=R13, O=Let's Encrypt, C=US
Valid  : 12.01.2026 – 12.04.2026

Interpretacja

Certyfikat:
    • wystawiony bezpośrednio dla domeny rządowej,
    • nie wskazuje na certyfikację edge CDN,
    • brak sygnatur vendor-TLS (Akamai, Cloudflare, Imperva).
Let’s Encrypt nie implikuje CDN – to neutralny publiczny CA.

Wniosek cząstkowy

Brak dowodu terminacji TLS przez globalny WAF/CDN.

4. Synteza wyników technicznych

DNS

    • brak CNAME do CDN/WAF
    • SOA wskazuje państwowego operatora (SERPRO)

HTTP

    • brak fingerprintów vendor-edge
    • widoczny origin IIS/ASP.NET

TLS

    • certyfikat bezpośrednio dla domeny rządowej
    • brak oznak terminacji przez zewnętrzny edge

5. Wniosek końcowy dla Brazylii

Publiczny punkt wejścia do systemu NF-e nie wykazuje obecności globalnego WAF/CDN w torze transmisji i wygląda na lokalny, państwowy edge infrastrukturalny.

6. Znaczenie porównawcze (w kontekście Polski)

Brazylia jest:
    • jednym z najstarszych i największych systemów clearance B2B na świecie,
    • systemem o bardzo wysokiej skali fiskalnej.
Mimo to nie ujawnia architektury globalnego reverse-proxy WAF w data-plane. To stanowi silny kontrast wobec architektury obserwowanej w Polsce.

7. Ocena końcowa audytu

Status: Brak dowodów na użycie globalnego WAF/CDN w warstwie brzegowej NF-e. Klasyfikacja architektury: ➡️ Państwowy edge lokalny Wpływ na tezę badawczą: ➡️ Wzmacnia hipotezę unikatowości Polski, ponieważ nawet system o skali Brazylii nie stosuje analogicznego modelu.

Grzegorz GPS Świderski Kanał Blogera GPS GPS i Przyjaciele X.GPS65