Настройка двухфакторной аутентификации для коммутаторов Cisco

В этом руководстве показано, как настроить двухфакторную аутентификацию для сетевой техники Cisco с помощью Облачного сервиса двухфакторной аутентифиции Protectimus или локальной 2FA платформы Protectimus.

Система двухфакторной аутентификации Protectimus взаимодействует с сетевым оборудованием Cisco по протоколу RADIUS. Компонент Protectimus RADIUS Server выступает в роли RADIUS-сервера. Он принимает входящие запросы на аутентификацию по протоколу RADIUS, обращается к хранилищу пользователей (Active Directory и т. д.) для проверки логина и пароля, а затем обращается к серверу двухфакторной аутентификации Protectimus для проверки одноразового пароля. Если оба фактора аутентификации верны, RADIUS-сервер Protectimus разрешает пользователю подключиться к сетевому коммутатору или свитчу Cisco.

Схема работы решения Protectimus для двухфакторной аутентификации при подключении к сетевой технике Cisco представлена на рисунке.

1. Как работает двухфакторная аутентификация для сетевой техники Cisco

После настройки двухфакторной аутентификации для коммутаторов Cisco, чтобы подключиться к сетевой технике Cisco, пользователи будут вводить два разных фактора аутентификации.

1. Первый фактор аутентификации это логин и пароль (то, что пользователь знает);
2. Второй фактор аутентификации это одноразовый пароль, который нужно сгенерировать с помощью аппаратного 2FA токена или смартфона (того, что принадлежит пользователю).

После того, как вы активируете двухфакторную аутентификацию (2FA) для коммутаторов Cisco, взломать доступ к сетевой технике Cisco станет осень сложно. Заполучить оба фактора аутентификации одновременно практически невозможно. Более того, время действия одноразового пароля составляет всего 30 секунд, поэтому у злоумышленника будет слишком мало времени, чтобы взломать второй фактор.

Двухфакторная аутентификация (2FA / MFA) — это эффективная мера защиты от таких угроз кибербезопасности, как фишинг, социальная инженерия, брутфорс, кейлоггинг, атаки человек-посередине, подмена данных и т.д.

2. Как настроить двухфакторную аутентификацию (2FA) для сетевой техники Cisco

Интеграция двухфакторной аутентификации Protectimus с сетевой техники Cisco возможна по протоколу RADIUS:

1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
2. Установите и настройте компонент Protectimus RADIUS Server.
3. Настройте политики аутентификации на сетевом устройстве Cisco.

2.1. Зарегистрируйтесь и настройте основные параметры Protectimus

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, не забудьте пометить опцию Radius).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.2. Установите и настройте Protectimus RADIUS Server

Подробные инструкции по установке и настройке Protectimus RADIUS Server доступны в Руководстве по установке и настройке Protectimus RADIUS Server.

2.3. Добавьте Protectimus в качестве RADIUS сервера для сетевого устройства Cisco

1. Добавьте Protectimus в качестве RADIUS сервера.

Switch(config) #radius server [configuration-name]

Switch(config-radius-server) #address ipv4 hostname [auth-port integer] [acct-port integer]

Switch(config-radius-server) #key [shared-secret]

2. Свяжите только что созданный вами RADIUS-сервер с группой серверов.

Switch(config) #aaa group server radius [group-name]

Switch(config-sg-radius) #server name [configuration-name]

3. Настройте aaa authentication login, чтобы использовать группу RADIUS с откатом к локальной аутентификации.

Switch(config) #aaa authentication login [default | list-name] group [group-name] local

Настройка двухфакторной аутентификации для коммутаторов Cisco завершена.

Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.