Cel

Celem audytu jest ustalenie, czy system podatkowy Ukrainy korzysta z zewnętrznej infrastruktury typu WAF/CDN, czy też działa w modelu lokalnego, państwowego edge. Badany host: cabinet.tax.gov.ua

---

Krok 1 — DNS i infrastruktura sieciowa

Komenda

Resolve-DnsName cabinet.tax.gov.ua -Type A
Resolve-DnsName tax.gov.ua -Type NS
Resolve-DnsName tax.gov.ua -Type SOA

Wynik (skrót)

• • IP: 193.200.32.30

• • DNS: ns1.tax.gov.ua, ns2.tax.gov.ua

• • dodatkowo: ns2.volia.net, ns3.volia.net

• • brak CNAME do CDN

• • brak adresów hyperscalera (Azure, AWS, GCP)

Interpretacja

To wskazuje na:

• • bezpośredni adres serwera państwowego

• • własną strefę DNS

• • brak pośredników typu Cloudflare / Akamai / Imperva

Już na tym etapie Ukraina wygląda na system hostowany lokalnie, bez zewnętrznego edge WAF.

---

Krok 2 — HTTP/HTTPS i nagłówki

Komenda

curl.exe -vkI https://cabinet.tax.gov.ua/

Wynik (kluczowe nagłówki)

• • HTTP/1.1 200 OK

• • server: nginx/1.25.3

• • brak nagłówków CDN (Via, X-Cache, CF-Ray, Akamai, Incapsula)

• • brak cookies charakterystycznych dla WAF

• • Strict-Transport-Security

• • TLS renegocjacja po stronie serwera

Interpretacja

To oznacza:

1. 1. Brak zewnętrznego WAF/CDN. Gdyby był — pojawiłyby się identyfikatory dostawcy.

1. 1. Edge wygląda na lokalny reverse-proxy nginx. Typowa konfiguracja państwowego hostingu.

1. 1. Renegocjacja TLS. Cechy konfiguracji bezpieczeństwa, nie fingerprint WAF.

Wniosek po Kroku 2: Ukraina używa lokalnego frontendu nginx, a nie globalnej chmury ochronnej.

---

Krok 3 — TLS i certyfikat

Komenda

openssl s_client -connect cabinet.tax.gov.ua:443 -servername cabinet.tax.gov.ua -tls1_2 -showcerts

Wynik

• • brak certyfikatu serwera

• • handshake kończy się alertem:

tlsv1 alert protocol version

• • brak negocjacji szyfru

• • brak ALPN

• • brak renegocjacji secure

• • odczytane tylko 7 bajtów

Interpretacja

To jest kluczowy rezultat. Możliwe scenariusze:

1. TLS działa tylko dla wyższych wersji / innego profilu klienta

Serwer może:

• • wymuszać TLS 1.3

• • wymagać konkretnego zestawu szyfrów

• • stosować filtr klienta

2. TLS terminowany w innym miejscu (SNI / filtr sieciowy)

Możliwa architektura:

• • firewall / IPS przed nginx

• • segmentacja ruchu

• • selektywne dopuszczanie klientów

3. Ochrona wojskowa / infrastruktura krytyczna

W warunkach wojny:

• • celowe utrudnianie fingerprintingu

• • niestandardowe polityki TLS

• • filtracja ruchu zagranicznego

To zupełnie inny model niż w UE.

---

Wniosek końcowy — architektura bezpieczeństwa Ukrainy

Najważniejsze ustalenia

1. Brak globalnego WAF/CDN. Nie ma Cloudflare, Imperva, Akamai ani hyperscalerów. 2. Infrastruktura lokalna / państwowa

• • własny DNS

• • własny serwer edge

• • nginx jako frontend

3. Niestandardowa polityka TLS

• • brak ujawnienia certyfikatu

• • alert wersji protokołu

• • możliwa filtracja klientów

To jest model suwerennościowy, nie outsourcing bezpieczeństwa.

---

Porównanie cywilizacyjne

Ukraina

• • lokalna infrastruktura

• • brak globalnych pośredników

• • utrudniony fingerprinting

• • model wojenno-państwowy

Polska

• • globalny WAF

• • chmura zagraniczna

• • pełna widoczność metadanych

• • model outsourcingu bezpieczeństwa

---

Ostateczna ocena

Ukraina stosuje najbardziej suwerenny model infrastruktury podatkowej spośród dotychczas badanych krajów europejskich. Brak zewnętrznego WAF nie oznacza słabości. Może oznaczać świadomą decyzję strategiczną: kontrola ważniejsza niż wygoda chmury.

Grzegorz GPS Świderski Kanał Blogera GPS GPS i Przyjaciele X.GPS65