我的任務是為我們的 NOC 提出一個解決方案,以在我們的路由器上實現 MFA\ 安全存取。這樣做有一些警告,因為除其他限制外,TACACS\RADIUS 僅在 MGMT 介面上支援(如果 TACACS\RADIUS 不穩定,我不想冒被路由器鎖定的風險)
話雖如此,我認為更好的方法是使用記錄所有命令的跳轉箱。使用者可以透過 SSH 連接到 Jumpbox,並透過 RADIUS 或其他支援 MFA 的方式使用 AD 憑證進行身份驗證。
這裡要注意的是:
- 當您透過 SSH 連接到相關路由器時,所有命令\回應都應以某種方式透過 RADIUS 記帳或其他方式記錄並傳送到某個地方。它將由跳轉盒傳送這些內容,也許有一個「特殊」版本的 SSH 可以做到這一點。
- 它們應該記錄在運行命令的使用者下。