วิธีตั้งค่า Two-Factor Authentication บน Network Switch

1. Two-Factor Authentication คืออะไร? สำคัญอย่างไรต่อ Network Switch

การรักษาความปลอดภัยของระบบเครือข่ายเป็นปัจจัยสำคัญสำหรับองค์กรยุคใหม่ โดยเฉพาะส่วนของ Network Switch ซึ่งเป็นหัวใจหลักในการจัดการข้อมูลและการเชื่อมต่อภายในองค์กร การเปิดใช้งาน Two-Factor Authentication (2FA) หรือ การยืนยันตัวตนแบบสองขั้นตอน บนอุปกรณ์ Network Switch จะช่วยป้องกันภัยคุกคามไซเบอร์ ทั้งจากการโจมตีด้วยวิธีหลอกลวง (Phishing) และการเจาะรหัสผ่านแบบ brute force ได้อย่างมีประสิทธิภาพ[1][2][3] นอกจากเพิ่มระดับความปลอดภัยแล้ว ยังตอบโจทย์มาตรฐานความปลอดภัยข้อมูลระดับสากลที่องค์กรต่างๆ ให้ความสำคัญ

2. Two-Factor Authentication เพิ่มความปลอดภัยให้กับ Network Switch อย่างไร

• การยืนยันตัวตนสองชั้น คือ การผสานรหัสผ่านเดิม (Password) เข้ากับตัวแปรเพิ่ม เช่น รหัส OTP, Hardware Token หรือ Certificate[1][2][3]
• ผู้ใช้งานต้องผ่านกระบวนการยืนยันตัวตนทั้งสองส่วน จึงจะสามารถเข้าถึงการตั้งค่า Network Switch หรือ SSH ได้
• ลดความเสี่ยงจากการถูกขโมยรหัสผ่าน เพราะผู้ไม่หวังดีต้องมีทั้งรหัสผ่านและอุปกรณ์หรือข้อมูลพิเศษที่สอง
• มีผลต่อการลดการโจมตีแบบ phishing, brute force, keylogging และ MITM (Man in the Middle Attack)[1]

สถิติ: หลังจากองค์กรเปิดใช้ Two-Factor Authentication พบว่าการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตลดลงกว่า 90% (ข้อมูลเฉพาะจากผู้ให้บริการด้านความปลอดภัย เช่น Protectimus)

3. ขั้นตอนการเตรียมความพร้อมก่อนติดตั้ง Two-Factor Authentication

ความต้องการเบื้องต้นของระบบ

• Network Switch ที่รองรับการตั้งค่า Authentication ผ่าน RADIUS หรือระบบเสริม
• RADIUS Server หรือซอฟต์แวร์ Third-party 2FA (เช่น Protectimus, TOTPRadius, Microsoft Active Directory)[1][2][3]
• กำหนดรายชื่อผู้ใช้งานบน Switch และ RADIUS Server ให้ตรงกัน
• สำหรับบางระบบ ต้องมี Certificate Authority (CA)

อุปกรณ์และซอฟต์แวร์สนับสนุน

• Cisco Switch หรือ Aruba Switch ที่รองรับ AAA และ SSH
• Active Directory หรือ LDAP สำหรับบันทึกบัญชีผู้ใช้
• โปรแกรมสำหรับจัดการ SSH หรือ Token App สำหรับรับ OTP

4. วิธีตั้งค่า Two-Factor Authentication บน Network Switch (Cisco/Aruba เป็นตัวอย่าง)

4.1 ตัวอย่างการตั้งค่า Cisco Switch ด้วย Protectimus หรือ TOTPRadius

Protectimus 2FA หรือ TOTPRadius พร้อม RADIUS สามารถสร้างระบบ 2FA ให้กับ Cisco Switch ได้ทันทีตามขั้นตอนดังนี้[1][2]:

1. ลงทะเบียนกับ Protectimus SAAS หรือ ติดตั้ง On-Premise 2FA Platform
2. ติดตั้งและตั้งค่าโปรแกรม RADIUS Server ให้เชื่อมต่อกับ Switch และระบบบัญชีผู้ใช้ (Active Directory หรือ LDAP)
3. ปรับแต่งค่า Authentication ของ Cisco Switch ด้วยคำสั่ง CLI เช่น

   Switch(config)# radius server [ชื่อคอนฟิก]
   Switch(config-radius-server)# address ipv4 [hostname] [auth-port หมายเลข] [acct-port หมายเลข]
   Switch(config-radius-server)# key [shared-secret]
   Switch(config)# aaa group server radius [ชื่อกลุ่ม]
   Switch(config-sg-radius)# server name [ชื่อคอนฟิก]
   Switch(config)# aaa authentication login [default | list-name] group [ชื่อกลุ่ม] local
   

4. เปิดใช้งาน SSH และกำหนดให้ใช้ RADIUS ในการยืนยันตัวตน (2FA)
5. ลงทะเบียน Token (OTP หรือ Hardware Token) ให้กับแต่ละผู้ใช้ผ่าน TOTPRadius Interface

กรณีใช้งาน TOTPRadius

• ตั้งค่า Active Directory เป็นปัจจัยแรก และ TOTPRadius Server เป็นปัจจัยที่สอง[2]
• กำหนดค่า Radius secret, Endpoint IP, และ LDAP ให้ถูกต้อง
• ผู้ใช้งานสามารถสมัคร Hardware Token หรือ TOTP ผ่าน Self Enrollment

4.2 ตัวอย่างการตั้งค่า Aruba Switch ด้วย RADIUS + Certificate

• เปิดใช้งาน SSH บน Switch
• เพิ่มผู้ใช้งาน local และใน RADIUS Server โดยใช้ username เดียวกัน[3]
• สร้าง TA profile และนำ certificate ของ CA ไปไว้ใน Switch
• นำ Public Key จาก User Certificate ใส่ใน Switch

  switch(config)# crypto pki ta-profile root-cert
  switch(config-ta-root-cert)# revocation-check ocsp
  switch(config-ta-root-cert)# ta-certificate
  switch(config-ta-root-cert)# exit
  switch(config)# user [USERNAME] authorized-key [PUBKEY]
  switch(config)# ssh two-factor-authentication
  

• กระบวนการสองขั้นตอนจะเริ่มใช้เมื่อมีผู้เชื่อมต่อ SSH จากเครื่องที่ติดตั้ง Certificate

5. คำแนะนำและข้อควรระวังในการใช้งาน Two-Factor Authentication

• หมั่นตรวจสอบการสำรองข้อมูล Token หรือ OTP กรณีสูญหาย
• ให้สิทธิ์การเข้าถึงเฉพาะผู้ดูแลระบบหรือกลุ่มที่จำเป็นเท่านั้น
• ควรอัปเดตและตรวจสอบความถูกต้องของ Certificate และ RADIUS Server อยู่เสมอ
• สำรองวิธีเข้าถึงระบบเผื่อกรณี Token หรืออุปกรณ์เสีย

6. บทสรุปและ Call-to-Action

การตั้งค่า Two-Factor Authentication บน Network Switch คือก้าวสำคัญสู่ความปลอดภัยข้อมูลสำหรับองค์กรยุคใหม่ คุณสามารถใช้ Protectimus, TOTPRadius หรือโซลูชั่น RADIUS พร้อม Certificate ได้ทันที ยกระดับความมั่นใจให้กับทีม IT และองค์กร หากต้องการคำปรึกษา อุปกรณ์หรือบริการด้านความปลอดภัย ติดต่อทีมงานของ 2beshop.com หรือโทร. 02-1186767 ได้เลย และอย่าลืมแชร์บทความนี้เพื่อส่งต่อความรู้!

แหล่งอ้างอิง

• [1] protectimus.com/guides/cisco-switches-2fa/
• [2] token2.com/site/page/totpradius-mfa-for-ssh-access-to-cisco-switches
• [3] arubanetworking.hpe.com/techdocs/AOS-CX/10.15/HTML/security_8100-8360/Content/Chp_Rem_AAA_RADIUS/cnf-two-fac-aut-10.htm
• [4] cisco.com/c/en/us/support/docs/security/secure-client-5/222172-configure-machine-two-factor-authenticat.html