Tenho a tarefa de encontrar uma solução para nosso NOC implementar acesso seguro MFA em nossos roteadores. Há advertências para fazer isso, pois TACACS\RADIUS só é suportado na interface MGMT, entre outras limitações (não quero correr o risco de ficar bloqueado em um roteador se TACACS\RADIUS estiver sendo flakey)
Com isso dito, acho que uma abordagem melhor seria um jumpbox que registrasse todos os comandos. Os usuários fariam SSH para o jumpbox e se autenticariam com suas credenciais AD via RADIUS ou qualquer outra coisa que suporte MFA.
A advertência aqui é:
- Quando você faz SSH para o roteador em questão, todos os comandos/respostas devem de alguma forma ser registrados e enviados para algum lugar, via contabilidade RADIUS ou de outra forma. Seria o jumpbox que os enviaria, talvez haja uma versão "especial" do SSH que faça isso.
- Eles devem estar logados com o usuário que executou os comandos.