Informacje Lokalne

ZdrowiePOLSKALOKALNESWIATHYDEPARK

Audyt techniczny. Ukraina

Opublikowano: 12.02.2026 | Autor: Grzegorz GPS Świderski | Ostatnia aktualizacja: 12.02.2026 02:39

Cel

Celem audytu jest ustalenie, czy system podatkowy Ukrainy korzysta z zewnętrznej infrastruktury typu WAF/CDN, czy też działa w modelu lokalnego, państwowego edge. Badany host: cabinet.tax.gov.ua

Krok 1 — DNS i infrastruktura sieciowa

Komenda

Resolve-DnsName cabinet.tax.gov.ua -Type A
Resolve-DnsName tax.gov.ua -Type NS
Resolve-DnsName tax.gov.ua -Type SOA

Wynik (skrót)

  • IP: 193.200.32.30
  • DNS: ns1.tax.gov.ua, ns2.tax.gov.ua
  • dodatkowo: ns2.volia.net, ns3.volia.net
  • brak CNAME do CDN
  • brak adresów hyperscalera (Azure, AWS, GCP)

Interpretacja

To wskazuje na:

  • bezpośredni adres serwera państwowego
  • własną strefę DNS
  • brak pośredników typu Cloudflare / Akamai / Imperva

Już na tym etapie Ukraina wygląda na system hostowany lokalnie, bez zewnętrznego edge WAF.

Krok 2 — HTTP/HTTPS i nagłówki

Komenda

curl.exe -vkI https://cabinet.tax.gov.ua/

Wynik (kluczowe nagłówki)

  • HTTP/1.1 200 OK
  • server: nginx/1.25.3
  • brak nagłówków CDN (Via, X-Cache, CF-Ray, Akamai, Incapsula)
  • brak cookies charakterystycznych dla WAF
  • Strict-Transport-Security
  • TLS renegocjacja po stronie serwera

Interpretacja

To oznacza:

  1. Brak zewnętrznego WAF/CDN. Gdyby był — pojawiłyby się identyfikatory dostawcy.
  2. Edge wygląda na lokalny reverse-proxy nginx. Typowa konfiguracja państwowego hostingu.
  3. Renegocjacja TLS. Cechy konfiguracji bezpieczeństwa, nie fingerprint WAF.

Wniosek po Kroku 2: Ukraina używa lokalnego frontendu nginx, a nie globalnej chmury ochronnej.

Krok 3 — TLS i certyfikat

Komenda

openssl s_client -connect cabinet.tax.gov.ua:443 -servername cabinet.tax.gov.ua -tls1_2 -showcerts

Wynik

  • brak certyfikatu serwera
  • handshake kończy się alertem:
tlsv1 alert protocol version
  • brak negocjacji szyfru
  • brak ALPN
  • brak renegocjacji secure
  • odczytane tylko 7 bajtów

Interpretacja

To jest kluczowy rezultat. Możliwe scenariusze:

1. TLS działa tylko dla wyższych wersji / innego profilu klienta

Serwer może:

  • wymuszać TLS 1.3
  • wymagać konkretnego zestawu szyfrów
  • stosować filtr klienta

2. TLS terminowany w innym miejscu (SNI / filtr sieciowy)

Możliwa architektura:

  • firewall / IPS przed nginx
  • segmentacja ruchu
  • selektywne dopuszczanie klientów

3. Ochrona wojskowa / infrastruktura krytyczna

W warunkach wojny:

  • celowe utrudnianie fingerprintingu
  • niestandardowe polityki TLS
  • filtracja ruchu zagranicznego

To zupełnie inny model niż w UE.

Wniosek końcowy — architektura bezpieczeństwa Ukrainy

Najważniejsze ustalenia

1. Brak globalnego WAF/CDN. Nie ma Cloudflare, Imperva, Akamai ani hyperscalerów.

2. Infrastruktura lokalna / państwowa

  • własny DNS
  • własny serwer edge
  • nginx jako frontend

3. Niestandardowa polityka TLS

  • brak ujawnienia certyfikatu
  • alert wersji protokołu
  • możliwa filtracja klientów

To jest model suwerennościowy, nie outsourcing bezpieczeństwa.

Porównanie cywilizacyjne

Ukraina

  • lokalna infrastruktura
  • brak globalnych pośredników
  • utrudniony fingerprinting
  • model wojenno-państwowy

Polska

  • globalny WAF
  • chmura zagraniczna
  • pełna widoczność metadanych
  • model outsourcingu bezpieczeństwa

Ostateczna ocena

Ukraina stosuje najbardziej suwerenny model infrastruktury podatkowej spośród dotychczas badanych krajów europejskich.

Brak zewnętrznego WAF nie oznacza słabości. Może oznaczać świadomą decyzję strategiczną: kontrola ważniejsza niż wygoda chmury.

Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65

Dodaj komentarz: