Мне поручено придумать решение для нашего NOC по внедрению MFA\безопасного доступа на наших маршрутизаторах. Есть некоторые оговорки, связанные с этим, поскольку TACACS\RADIUS поддерживается только на интерфейсе MGMT, помимо прочих ограничений (я не хочу рисковать быть заблокированным на маршрутизаторе, если TACACS\RADIUS будет ненадежным)
Учитывая все вышесказанное, я думаю, что лучшим подходом будет jumpbox, который регистрирует все команды. Пользователи будут подключаться к jumpbox по SSH и проходить аутентификацию с помощью своих учетных данных AD через RADIUS или что-то еще, что поддерживает MFA.
Здесь есть одно предостережение:
- Когда вы подключаетесь по SSH к маршрутизатору, о котором идет речь, все команды\ответы должны каким-то образом регистрироваться и куда-то отправляться, через учетную запись RADIUS или иным образом. Это будет jumpbox, отправляющий их, возможно, есть "специальная" версия SSH, которая это делает.
- Они должны быть зарегистрированы под пользователем, который выполнил команды.