Tengo la tarea de encontrar una solución para que nuestro NOC implemente MFA\acceso seguro en nuestros enrutadores. Hay advertencias al hacer esto, ya que TACACS\RADIUS solo se admite en la interfaz MGMT, entre otras limitaciones (no quiero correr el riesgo de que me bloqueen el acceso a un enrutador si TACACS\RADIUS no funciona correctamente)
Dicho esto, creo que un mejor enfoque sería un jumpbox que registre todos los comandos. Los usuarios utilizarían SSH en el jumpbox y se autenticarían con sus credenciales de AD a través de RADIUS o cualquier otra cosa que admita MFA.
La advertencia aquí es:
- Cuando realiza SSH al enrutador en cuestión, todos los comandos/respuestas deberían registrarse y enviarse de alguna manera a algún lugar, a través de la contabilidad RADIUS o de otra manera. Sería el jumpbox el que los enviaría, tal vez haya una versión "especial" de SSH que haga esto.
- Deben iniciar sesión con el usuario que ejecutó los comandos.