Recientemente, nuestra organización tuvo que utilizar MFA para iniciar sesión en nuestro hardware de red. Estamos logrando esto usando Royal Server y Royal TS, y limitando la IP de origen para SSH y GUI web solo a la dirección IP de Royal Server. HP facilita esto usando algo llamado "Autorización de IP". Sin embargo, en nuestro Cisco Catalyst 2960, no puedo encontrar la opción para hacer esto.
El artículo más cercano que pude encontrar fue aquí:https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst_pon/software/configuration_guide/mng_usrs/b-gpon-config-managing-users/configuring_ip_limit.html
Sin embargo, prácticamente ninguno de los comandos especificados en ese artículo existe cuando se ejecutan. El firmware es la última versión disponible. Tampoco parece haber una manera de hacer esto en la GUI web. ¿Alguna idea?
Respuesta1
Uso de la configuración de autenticación de dos factores para combatir las amenazas a la ciberseguridad
Familia de productos:
Switches Cisco Catalyst® series 2000, 3000 y 4000
Versión del software Cisco IOS:
Cisco IOS 15.2(4)E1 o posterior
Las amenazas a la ciberseguridad continúan evolucionando, comprometiendo la información sensible y confidencial en toda la red. Para combatir esta amenaza, las empresas están tomando medidas de mitigación para fortalecer el acceso a los dispositivos en su infraestructura de TI crítica.
La autenticación de dos factores puede reducir significativamente el riesgo de que los adversarios penetren en redes y sistemas estratégicos. Este enfoque requiere el uso de una tarjeta de Verificación de Identidad Personal (PIV) o una Tarjeta de Acceso Común (CAC). En este documento, detallaremos los procedimientos básicos necesarios para habilitar la autenticación de dos factores para el Protocolo Secure Shell (SSH) utilizando tarjetas PIV o CAC emitidas por el gobierno.