maciejpi/nordabiz
1
0
Fork 0
Code Issues Pull Requests Actions 1 Packages Projects Releases Wiki Activity

docs: Add Security Roadmap (DMZ/IPS) to ROADMAP.md

Browse Source 
OPNsense bridge + CrowdSec plan saved as future roadmap item.
FortiGate hardening changes from 2026-02-16 session documented.
Design doc status updated to roadmap/future.

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
Maciej Pienczyn 2026-02-17 07:20:23 +01:00
parent 69355f810b
commit 1785622c0e
2 changed files with 42 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

41
docs/ROADMAP.md
View File

@ -97,6 +97,47 @@ Funkcje planowane do wdrożenia, wspólnie decydowane z Radą NORDA:
| 4 | Marketplace usług | Członkowie oferują usługi innym członkom — wewnętrzna giełda kompetencji | | 4 | Marketplace usług | Członkowie oferują usługi innym członkom — wewnętrzna giełda kompetencji |
| 5 | Raporty branżowe z AI | Automatyczna analiza trendów i szans rynkowych dla firm członkowskich | | 5 | Raporty branżowe z AI | Automatyczna analiza trendów i szans rynkowych dla firm członkowskich |
---
## Security Roadmap — DMZ & IPS (planowane)
**Status:** Zaplanowane, do realizacji w przyszłej sesji
**Design:** `docs/plans/2026-02-16-dmz-security-layer-design.md`
**Plan implementacji:** `docs/plans/2026-02-16-dmz-security-layer-implementation.md`
### Kontekst
FortiGate-500D (R11-FORTI-01) jest po EOSL (2023-05-08), FortiOS 6.4 EOS (2024-09-30). Wszystkie subskrypcje FortiGuard wygasły — brak aktualizacji IPS/AV/WebFilter. Potrzebna dodatkowa warstwa bezpieczeństwa.
### Zrealizowane hardeningi FortiGate (2026-02-16)
| Zmiana | Status |
|--------|--------|
| logtraffic all na policy 12 | ✅ |
| VPN login-attempt-limit 2, block-time 900s | ✅ |
| admin-telnet disable | ✅ |
| cli-audit-log enable | ✅ |
| revision-backup-on-logout enable | ✅ |
| local-in-policy: deny mgmt z WAN | ✅ |
| UTM + app-control na policy 5, 8 | ✅ |
| VPN source-interface → port9 only | ✅ |
### Plan: OPNsense Bridge + CrowdSec (14 tasków)
| Faza | Opis | Koszt |
|------|------|-------|
| **1. CrowdSec agenty** | Instalacja na NordaBiz (VM 249) i NPM (VM 119) | $0 |
| **2. Infrastruktura** | IPAM, DNS, vmbr1 na Proxmox | $0 |
| **3. OPNsense VM 155** | 4 vCPU, 8 GB RAM, 32 GB disk, 3 NIC na r11-pve-03 | $0 |
| **4. Bridge + Suricata** | Transparent bridge, ET Open rulesets, tryb IDS | $0 |
| **5. Bridge insertion** | Okno serwisowe ~5 min, przełączenie VM na vmbr1 | $0 |
| **6. Obserwacja + IPS** | 1 tydzień IDS, potem przełączenie na IPS | $0 |
**Całkowity koszt:** $0 (open source stack)
**Czas realizacji:** ~1 dzień konfiguracji + 1 tydzień obserwacji
---
### Norda360 — osobny produkt ### Norda360 — osobny produkt
| Element | Opis | | Element | Opis |

2
docs/plans/2026-02-16-dmz-security-layer-design.md
View File

@ -1,7 +1,7 @@
# DMZ Security Layer — OPNsense Bridge + CrowdSec # DMZ Security Layer — OPNsense Bridge + CrowdSec
**Data:** 2026-02-16 **Data:** 2026-02-16
**Status:** Zatwierdzony **Status:** Zatwierdzony — do realizacji w przyszłej sesji (roadmap)
**Autor:** Maciej Pienczykowski + Claude **Autor:** Maciej Pienczykowski + Claude
## Problem ## Problem