AntHTML

Все ответы касаются только Стахановца.

действительно ли такое возможно.

Это не просто возможно, это целый рынок систем СМП/DLP (часто имеют в качестве компонента)

Как можно это проверить?

Спросить у того, кто за это отвечает. Хорошо спрятанный агент СМП найти практически невозможно - для этого нужно знать все миллионы файлов винды.

Нужно ли для этого удаленное подключение?

Нет. Агент изначально знает, куда ему обращаться.

Отображается ли как-то трансляция?

Нет. Наблюдение вдется постоянно - от момента входа в систему до момента выхода. Впрочем "холостой ход" тоже ловит - от этого недостатка так и не избавились.

Большой ли объем хранилища нужен для такого количества ежедневной слежки?

Зависит от количества сотрудников и глубины хранения. Локальный буфер на сутки обычно. Оценочное (очень приблизительное) значение при 100 чел и глубине хранения полгода - 200G

Хотелось бы знать, правда ли он читает переписки.

В ИБ обычно полагается, что если точно не знаешь ответа, берется худший вариант.

Такая задача решается не пунктами инструкций, которые большинство даже не читает, а правильно настроенными правами и регулярными бэкапами. А удаления документов в СЭД вообще не должно быть, только перевод в "недействительные"/"неотображаемые". Удаляться может, разве что, черновик документа, который никто кроме автора ещё не видел.

В defrag надо смотреть на неперемещаемые файлы, типа C:\swapfile.sys, C:\pagefile.sys и C:\hyperfil.sys. Программа сжатия же вам всё подсказывает, прямо в лоб.

При загрузке с LiveCD/LiveUSB эти файлы можно удалять или даже дефрагментировать, и доступное место под сжатие должно увеличиться.

1. Как учиться кибербезопасности?

Если ты про образование по направлению - ищи специальность "Специалист по информационной безопасности". Если нет - ищи всевозможные роадмапы. Но нужно сразу учесть, что ИБ - это преогромная область, то, что описал Дмитрий в своем ответе - это только малая часть ИБ, причем часть не для нубов - для того, чтобы работать так, как он описал - нужно очень нехилый набор знаний, очень нехилый набор умений и несколько специфичный склад ума и характера.
И совершенно верно же - если ты сейчас не реверсишь какую-нибудь прошивку, не штудируешь CVE, не копаешься в чьих-то исходниках - тебе лучше в ИБ не ходить :)

Почему? Потому что ИБ - это не только пентест и поиск уязвимостей. Это МСЭ и сертификаты. Это всевозможные регламенты и инструкции. Это работа с СМП, DLP и прочими страшно звучащими вещами. Это прокси и файрволлы, сети и все с ними связанное. Ты должен быть админом лучше своих админов и сетевиком лучше своих сетевиков (если конечно все эти люди у вас есть).

И это коненчно же линух, линух, линух - потому что он везде :) Если не циска - значит линух. Но это не значит, что винду знать не надо - наоборот, знать ее надо чтоб от зубов отскакивало.

И немного психологом - ИБ это ведь и про юзеров тоже :)

2. Где искать работу?

Как везде - обьявления, сайты, стажировки. Но сразу вот так вот с улицы попасть в ИБ непросто - потому что типовая служба ИБ в конторе - это "остров абсолюта". На него не действуют правила, потому что они сами их пишут. И соответственно доверие тут должно быть огого.
Но можно попасть в контору, которая специализируется на ИБ, типа Касперского.

В печально известные ковидные времена, когда понадобилось СРОЧНО за два дня усадить всех на удалёнку но при этом имея зоопарк операционных систем, причем некоторые не имели даже админских прав на своём же домашнем компе, выходом оказался ICMP Knocking
Три правила в файерволе Микротика и простейший БАТник, пингующий нестандартными пакетами сервер перед RDP подключением

Никак не засудить. Провайдерт обязан пропускать трафик через ТСПУ, которым управляет Роскомнадзор. Сам провайдер не знает, что там происходит, что блокируется, что пропускается.
Это всё равно, что подать в суд на таксиста, который не довёз вас до дома из-за знака "кирпич", ну и на ГАИ заодно.

"Надо заново придумать некий смысл бытия
На...фига?" (С) Агата Кристи "Два корабля"

Когда нам понадобилась отдельная сеть для управления и бэкапов между хостами - мы взяли и ее сделали :) Вот реально - в каждом хосте быда свободная сетевуха, где не было - закупили, закупили свитч - и вывели на него все хосты, сервер бэкапов, резервный сервер (стоит в другом краю корпуса, а корпус у нас длиной 200 метров :)) и общую сеть.

Отдельная сеть - это отдельный носитель, прям на уровне физики.

И, кстати, вам отдельную сеть от чего? От общей сети?

вайфай был на отдельных физических картах

Актуально ли вообще воткнуть несколько вайфай-карт что бы увеличить пропускную способность в сумме

Нет. Это так не работает. Эфир один на всех. А два приёмо-передатчика рядом тупо будет мешать друг-другу и глушить. Плюс найти карту с поддержкой режима точки доступа и работающей в нужной вам ОС — это тот ещё квест. Дешевле классический роутер поставить и кабелем подключить. Если площадь квартиры большая — более двух комнат, толстые стены или у вас частный дом, то для вай-фая вам надо меш систему из нескольких точек, подключённых кабелем к локалке.

В первую очередь из-за тонкого места если много устройств (сеть), то есть я надеюсь что фактическое нахождение всего в одном устройстве не будет упираться в предел сетки меж роутером и NAS как у меня сейчас.

Собирайте тогда себе сразу 10 Гб сеть на меди, если всё рядом, или на оптике, если расстояние между узлами больше нескольких метров. Оптику вполне можно взять Б/У стандартные SPF+ многомодовые модули и моток такого же волокна со скалывателем или готовые патч-корды со всем вместе. Одномодовые менее распространённые и всё несколько дороже может встать.

Насколько такая схема вообще достойна жизни или лучше не мудрить, а купить отдельно нормальный вайфай-роутер и отдельно NAS готовый?

Сам роутер — топ OPNSense или pfSense на маленькой железке с парой портов (1 или 10ГБ) и плюс стандартный тупой свитч для локалки. Для NAS топ — XigmaNAS и TrueNAS, на фряхе и дебиане соответственно. Готовые NAS — так себе решение и никакой гибкости. Оптимальное решение: одна железка — одна функция. Т.е., отдельно NAS, отдельно роутер, отдельно вай-фай, отдельно умный дом, отдельно лаборатория для поиграться, отдельно рабочая станция. Если очень хочется всё же в одну железку всё запихнуть, то вам нужно будет туда ставить взрослый гипервизор типа Xen, Proxmox и иже с ними. И все разные функции разносить в разные машины, причём для некоторых надо будет пробрасывать железо целиком в машины. Например для роутера пробрасывать сетевую карту с парой портов или два карты по одному порту. Для NAS — диски (ну, так-то есть варианты и без проброса, конечно). В общем случае с ролью роутера или простой NAS с парой или четвёркой дисков вполне справится сборка на базе MiniITX платы со встроенным процессором. Учтите, что для нормальной работы NAS вам надо 1 ГБ оперативной памяти на каждый ТБ хранилища. Если у вас NAS на десятки и сотни ТБ с пачкой дисков — вам уже нужен взрослый серверный процессор с поддержкой ECC памяти и сама ECC память в обязаловке (иначе велик риск накопления ошибок со временем).

Нужна ли в такой сборке видеокарта или хватит просто работать с этим по SSH?

Если вам нужна ВМ для работы в ней с графикой — то да, ставите видеокарту и пробрасываете её в машину и работаете. Если не нужна — то и ставить не нужно.

как вообще первоначально систему поставить, у серверных материнок хотя бы консольный порт есть

Например, поставить видюху на время установки ОС, а потом убрать или просто поставить ОС по сети.

Но при попытке понять значит ли это что пакет ssh инкапсулируется в tcp-пакет

Разумеется значит. А пакет TCP инкапсулируется в пакет IP. А пакет IP инкапсулируется в пакет Ethernet (или другой среды передачи) И уже этот пакет передается по сети.

Все в полном соответствии с моделью ISO/OSI. В случае ssh даже ISO6 задействуется, который обычно пропускают.

> у кого-то имеется опыт работы в данной сфере

Опыт-то имеется...
И проектировали/строили такой "радости" за четверть века - немеряно...
А вот точно ответить на вопрос (как маляры делают - по площади :))) почти не возможно.

Траектории движения ОЧЕНЬ зависят от источника финансирования. И под какую нормативку он попадает. ФЗ-44 - одна история. Коммерческое финансирование - другая..

Если по-правильному считать, то вначале пишется развёрнутое тех.задание (формально его пишет Заказчик, в реальной жизни - почти всегда потенциальный Исполнитель и согласует с Заказчиком).
Плюс - планировки прикладываются с планами размещения существующих и ПЕРСПЕКТИВНЫХ рабочих мест .
(Например - кабинет 15 кв.м., сидит один доктор с одним компом. Минимально - одна однопортовая розетка СКС. Максимально - доктору двухпортовую, перспективное место мед.сестры - двухпортовая. Второй порт - для телефонии и/или для принтера). А нонче зачастую и какой-нибудь аппарат УЗИ может к сети подтыкаться. И в поликлиниках они вполне себе появляются. Так что - может и 1 порт СКС/ЛВС на кабинет 15 кв.м., а может - и 6 :))) И с высокой верятностью, что через год все они заняты будут...)
Также в ТЗ надо указывать - куда сводим кабели (места расположения телеком.шкафа/шкафов), где/как их прокладываем в магистралях (например - в лотках за фальш-потолком, если есть фальш-потолок и место за ним), как прокладываем в кабинетах (например - в коробах ~100х50). Что по категории СКС. Требования по сИкретности/соответствия нормативке.

Потом на базе этого ТЗ - разрабатывается проектно-сметная документация. (В ТЗ надо указать - в каких расценках сметы должны быть. Обычно - ТЕРм по XXX региону. Но это надо уточнять у источника финансирования.)
Стоимость (НМЦК, вывешиваемую на тендер) этого этапа я бы оценил тысяч в 200...300 руб.

Потом - на базе полученных смет - объявляется второй тендер на создание ЛВС (включая в себя монтаж СКС и поставку/ПНР оборудования для ЛВС).

Проблема - что такой путь очень ДОЛГИЙ.
Запросто на пару лет растянуться может (финансирование на построение ЛВС выделят только на следующий год после предоставления сметной документации)

В реальной жизни бывает, что пару лет ждать мОчи нет. И тогда ответственному лицу от Заказчика приходится договариваться, чтобы КТО-ТО осмотрел объект, задумчиво посмотрел в потолок, подготовил более-менее точные сметы и подарил БЫ их Заказчику.
А потом Заказчик на базе этих смет будет уже тендериться...

PS. Если нужна очень-очень грубая (ну просто вот *^%$#&%$# грубая :))) оценка стоимости СКС/ЛВС в неких сферических стандартных условиях - то можно принять как $200 (ну или 16 000 руб) на рабочее место (кабельные трассы, кабели, патч-корды, патч-панели/органайзеры, какой-никакой телеком шкаф с набивкой, какие-нибудь 19" коммутаторы)

PPS. Хочу также отметить, что упоминавшиеся другими комментаторами СКУД, видеонаблюдение и прочие увлекательные и полезные вещи - это вообще-то ДРУГИЕ разделы проекта.

PPPS. К WiFi (если он мыслится доступным не только для сотрудников, но и для посетителей) - рекомендую относиться с БАААЛЬШОЙ настороженностью. Ибо закон Яровой и иже с ним требования по обязательной идентификации клиентов и хранению этой информации... То есть как минимум контроллер WiFi должен уметь интегрироваться с внешним Captive порталом, а в бюджете - предусмотрены деньги на оплату внешнего сервиса по идентификации через какие-нибудь СМС...

2 регистратора Hikvision по 32 канал - цена вопроса до 100к

ну или трассир если надо российское - цена вопроса 500к

остальные варианты будут дороже, потому что надо обслуживать. Тот же Zoneminder хорошо работает, но надо иметь готовить и следить за сервером

Обратитесь к вендорам таких систем, они вам посчитают всё под ваши требования.
В принципе, на Trassir'е 22 камеры у нас дают ~160Гб в день в режиме записи по движению. Это ~ 35 дней на 3+4 Tb HDD. Но у вас могут быть другие камеры, с другим разрешением и сжатием.
Процессор Celeron CPU J3455, загрузка 95%, но, вроде, справляется. Скорее всего, ПО просто пропускает отдельные кадры, если не хватает ресурсов.
Поток по сети тоже зависит от разрешения камер, частоты кадров и того, кто будет сжимать картинку. FullHD камера в h264 даёт ~2 Мбит/с на 12 FPS.
RAID особо не нужен, если не страшно раз в несколько лет потерять неделю-другую записей. Софт обычно пишет на все доступные диски по кругу, затирая старую информацию.
SSD смысла не имеет, система грузится один раз и будет она загружаться десять секунд или одну минуту - неважно.
Лицензии на Trassir идут из расчёта на камеру, софт есть как в виде отдельно OS на базе линукса, так и на Win64.
VLAN имеет смысл только если ваши камеры в общей сети. Если вы их настроили и перенесли в физически отдельную сеть, то можете просто на сервере поднять два сетевых интерфейса, первый смотрит в сеть с камерами, второй в общую сеть. Но для перенастройки камер придётся подключаться к этой отдельной сети.

Точно так же как и любой другой переходник между двумя интерфейсами: с помощью специального контроллёра, который реализует оба протокола. Thunderbolt поддерживает протокол PCI-E x4 (как один из) — поэтому подключить его к шине PCI-E достаточно просто. Пример реализации такой платы с уже готовым контроллёром: https://github.com/antmicro/thunderbolt-pcie-adapter
Делается это всё достаточно просто: открываются спецификации на требуемые интерфейсы, проектируется логика взаимодействия между интерфейсами, выбирается готовый контроллёр или подбирается подходящий процессор для реализации (или создаётся свой) и далее всё это реализуется в железе и ПО.

Крышка закрыта

А датчик закрытия крышки нажат? Контакты на материнской плате замкнуты?

Если включена опция в BIOS, то пара контактов CHASSIS должна быть постоянно замкнута. Её размыкание считается вскрытием корпуса.
Либо замкните эти контакты перемычкой, либо сбросьте CMOS. Для этого выключите компьютер, отсоедините кабель питания, на пару секунд замкните контакты джампера CLRTC, подсоедините кабель, включите компьютер, зайдите в BIOS и настройте как вам надо.