Meine Aufgabe ist es, eine Lösung für unser NOC zu finden, um MFA\gesicherten Zugriff auf unsere Router zu implementieren. Dies ist mit Einschränkungen verbunden, da TACACS\RADIUS neben anderen Einschränkungen nur auf der MGMT-Schnittstelle unterstützt wird (ich möchte nicht riskieren, aus einem Router ausgesperrt zu werden, wenn TACACS\RADIUS nicht funktioniert).
Vor diesem Hintergrund denke ich, dass ein besserer Ansatz eine Jumpbox wäre, die alle Befehle protokolliert. Benutzer würden per SSH auf die Jumpbox zugreifen und sich mit ihren AD-Anmeldeinformationen über RADIUS oder etwas anderes, das MFA unterstützt, authentifizieren.
Der Vorbehalt hier ist:
- Wenn Sie per SSH auf den betreffenden Router zugreifen, sollten alle Befehle/Antworten irgendwie protokolliert und irgendwohin gesendet werden, über RADIUS-Accounting oder auf andere Weise. Die Jumpbox würde diese senden, vielleicht gibt es eine „spezielle“ Version von SSH, die das macht.
- Sie sollten unter dem Benutzer protokolliert werden, der die Befehle ausgeführt hat.