docs: Add Security Roadmap (DMZ/IPS) to ROADMAP.md

OPNsense bridge + CrowdSec plan saved as future roadmap item. FortiGate hardening changes from 2026-02-16 session documented. Design doc status updated to roadmap/future. Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-02-17 07:20:23 +01:00 · 2026-02-17 07:20:23 +01:00 · 1785622c0e
commit 1785622c0e
parent 69355f810b
2 changed files with 42 additions and 1 deletions
--- a/docs/ROADMAP.md
+++ b/docs/ROADMAP.md
@ -97,6 +97,47 @@ Funkcje planowane do wdrożenia, wspólnie decydowane z Radą NORDA:
 | 4 | Marketplace usług | Członkowie oferują usługi innym członkom — wewnętrzna giełda kompetencji |
 | 5 | Raporty branżowe z AI | Automatyczna analiza trendów i szans rynkowych dla firm członkowskich |

+---
+
+## Security Roadmap — DMZ & IPS (planowane)
+
+**Status:** Zaplanowane, do realizacji w przyszłej sesji
+**Design:** `docs/plans/2026-02-16-dmz-security-layer-design.md`
+**Plan implementacji:** `docs/plans/2026-02-16-dmz-security-layer-implementation.md`
+
+### Kontekst
+
+FortiGate-500D (R11-FORTI-01) jest po EOSL (2023-05-08), FortiOS 6.4 EOS (2024-09-30). Wszystkie subskrypcje FortiGuard wygasły — brak aktualizacji IPS/AV/WebFilter. Potrzebna dodatkowa warstwa bezpieczeństwa.
+
+### Zrealizowane hardeningi FortiGate (2026-02-16)
+
+| Zmiana | Status |
+|--------|--------|
+| logtraffic all na policy 12 | ✅ |
+| VPN login-attempt-limit 2, block-time 900s | ✅ |
+| admin-telnet disable | ✅ |
+| cli-audit-log enable | ✅ |
+| revision-backup-on-logout enable | ✅ |
+| local-in-policy: deny mgmt z WAN | ✅ |
+| UTM + app-control na policy 5, 8 | ✅ |
+| VPN source-interface → port9 only | ✅ |
+
+### Plan: OPNsense Bridge + CrowdSec (14 tasków)
+
+| Faza | Opis | Koszt |
+|------|------|-------|
+| **1. CrowdSec agenty** | Instalacja na NordaBiz (VM 249) i NPM (VM 119) | $0 |
+| **2. Infrastruktura** | IPAM, DNS, vmbr1 na Proxmox | $0 |
+| **3. OPNsense VM 155** | 4 vCPU, 8 GB RAM, 32 GB disk, 3 NIC na r11-pve-03 | $0 |
+| **4. Bridge + Suricata** | Transparent bridge, ET Open rulesets, tryb IDS | $0 |
+| **5. Bridge insertion** | Okno serwisowe ~5 min, przełączenie VM na vmbr1 | $0 |
+| **6. Obserwacja + IPS** | 1 tydzień IDS, potem przełączenie na IPS | $0 |
+
+**Całkowity koszt:** $0 (open source stack)
+**Czas realizacji:** ~1 dzień konfiguracji + 1 tydzień obserwacji
+
+---
+
 ### Norda360 — osobny produkt

 | Element | Opis |
--- a/docs/plans/2026-02-16-dmz-security-layer-design.md
+++ b/docs/plans/2026-02-16-dmz-security-layer-design.md
@ -1,7 +1,7 @@
 # DMZ Security Layer — OPNsense Bridge + CrowdSec

 **Data:** 2026-02-16
-**Status:** Zatwierdzony
+**Status:** Zatwierdzony — do realizacji w przyszłej sesji (roadmap)
 **Autor:** Maciej Pienczykowski + Claude

 ## Problem