From 1785622c0ed083418b53e3fb3a723acdd9a58f4d Mon Sep 17 00:00:00 2001 From: Maciej Pienczyn Date: Tue, 17 Feb 2026 07:20:23 +0100 Subject: [PATCH] docs: Add Security Roadmap (DMZ/IPS) to ROADMAP.md OPNsense bridge + CrowdSec plan saved as future roadmap item. FortiGate hardening changes from 2026-02-16 session documented. Design doc status updated to roadmap/future. Co-Authored-By: Claude Opus 4.6 --- docs/ROADMAP.md | 41 +++++++++++++++++++ .../2026-02-16-dmz-security-layer-design.md | 2 +- 2 files changed, 42 insertions(+), 1 deletion(-) diff --git a/docs/ROADMAP.md b/docs/ROADMAP.md index 0bd233c..b1c7414 100644 --- a/docs/ROADMAP.md +++ b/docs/ROADMAP.md @@ -97,6 +97,47 @@ Funkcje planowane do wdrożenia, wspólnie decydowane z Radą NORDA: | 4 | Marketplace usług | Członkowie oferują usługi innym członkom — wewnętrzna giełda kompetencji | | 5 | Raporty branżowe z AI | Automatyczna analiza trendów i szans rynkowych dla firm członkowskich | +--- + +## Security Roadmap — DMZ & IPS (planowane) + +**Status:** Zaplanowane, do realizacji w przyszłej sesji +**Design:** `docs/plans/2026-02-16-dmz-security-layer-design.md` +**Plan implementacji:** `docs/plans/2026-02-16-dmz-security-layer-implementation.md` + +### Kontekst + +FortiGate-500D (R11-FORTI-01) jest po EOSL (2023-05-08), FortiOS 6.4 EOS (2024-09-30). Wszystkie subskrypcje FortiGuard wygasły — brak aktualizacji IPS/AV/WebFilter. Potrzebna dodatkowa warstwa bezpieczeństwa. + +### Zrealizowane hardeningi FortiGate (2026-02-16) + +| Zmiana | Status | +|--------|--------| +| logtraffic all na policy 12 | ✅ | +| VPN login-attempt-limit 2, block-time 900s | ✅ | +| admin-telnet disable | ✅ | +| cli-audit-log enable | ✅ | +| revision-backup-on-logout enable | ✅ | +| local-in-policy: deny mgmt z WAN | ✅ | +| UTM + app-control na policy 5, 8 | ✅ | +| VPN source-interface → port9 only | ✅ | + +### Plan: OPNsense Bridge + CrowdSec (14 tasków) + +| Faza | Opis | Koszt | +|------|------|-------| +| **1. CrowdSec agenty** | Instalacja na NordaBiz (VM 249) i NPM (VM 119) | $0 | +| **2. Infrastruktura** | IPAM, DNS, vmbr1 na Proxmox | $0 | +| **3. OPNsense VM 155** | 4 vCPU, 8 GB RAM, 32 GB disk, 3 NIC na r11-pve-03 | $0 | +| **4. Bridge + Suricata** | Transparent bridge, ET Open rulesets, tryb IDS | $0 | +| **5. Bridge insertion** | Okno serwisowe ~5 min, przełączenie VM na vmbr1 | $0 | +| **6. Obserwacja + IPS** | 1 tydzień IDS, potem przełączenie na IPS | $0 | + +**Całkowity koszt:** $0 (open source stack) +**Czas realizacji:** ~1 dzień konfiguracji + 1 tydzień obserwacji + +--- + ### Norda360 — osobny produkt | Element | Opis | diff --git a/docs/plans/2026-02-16-dmz-security-layer-design.md b/docs/plans/2026-02-16-dmz-security-layer-design.md index 1a42e6b..dd10162 100644 --- a/docs/plans/2026-02-16-dmz-security-layer-design.md +++ b/docs/plans/2026-02-16-dmz-security-layer-design.md @@ -1,7 +1,7 @@ # DMZ Security Layer — OPNsense Bridge + CrowdSec **Data:** 2026-02-16 -**Status:** Zatwierdzony +**Status:** Zatwierdzony — do realizacji w przyszłej sesji (roadmap) **Autor:** Maciej Pienczykowski + Claude ## Problem