Precedentemente, ho scritto su come abilitare l'accesso SSH al tuo switch Cisco abilitando l'impostazione nell'interfaccia della GUI. Questo è ottimo se vuoi accedere alla tua CLI switch tramite una connessione crittografata, ma si basa ancora solo su un nome utente e una password.
Se si utilizza questo switch in una rete altamente sensibile che deve essere molto sicura, è possibile prendere in considerazione l'abilitazione dell'autenticazione della chiave pubblica per la connessione SSH. In realtà, per la massima sicurezza, puoi abilitare un nome utente / password e l'autenticazione a chiave pubblica per l'accesso al tuo switch.
In questo articolo, ti mostrerò come abilitare l'autenticazione della chiave pubblica su uno switch Cisco SG300 e come generare le coppie di chiavi pubbliche e private usando puTTYGen. Ti mostrerò quindi come accedere utilizzando le nuove chiavi. Inoltre, ti mostrerò come configurarlo in modo che tu possa utilizzare solo la chiave per accedere o forzare l'utente a digitare un nome utente / password insieme all'utilizzo della chiave privata.
Nota: Prima di iniziare questo tutorial, assicurati di aver già abilitato il servizio SSH sullo switch, che ho citato nel mio precedente articolo collegato in precedenza.
Abilita autenticazione utente SSH tramite chiave pubblica
Nel complesso, il processo per far sì che l'autenticazione della chiave pubblica funzioni per SSH è semplice. Nel mio esempio, ti mostrerò come abilitare le funzionalità usando la GUI basata sul web. Ho provato a utilizzare l'interfaccia CLI per abilitare l'autenticazione della chiave pubblica, ma non accetterebbe il formato per la mia chiave RSA privata.
Una volta che ho funzionato, aggiornerò questo post con i comandi CLI che completeranno ciò che faremo tramite la GUI per ora. Innanzitutto, fai clic su Sicurezza, poi Server SSH e infine Autenticazione utente SSH.
Nel riquadro a destra, vai avanti e controlla il Abilita casella accanto a SSH Autenticazione utente per chiave pubblica. Clicca il Applicare pulsante per salvare le modifiche. Non controllare il Abilitare pulsante accanto a Accesso automatico appena come lo spiegherò più in basso.
Ora dobbiamo aggiungere un nome utente SSH. Prima di aggiungere l'utente, dobbiamo prima generare una chiave pubblica e privata. In questo esempio, utilizzeremo puTTYGen, che è un programma fornito con puTTY.
Genera chiavi private e pubbliche
Per generare le chiavi, andare avanti e aprire prima puTTYGen. Vedrai uno schermo vuoto e non dovresti davvero dover cambiare nessuna delle impostazioni dai valori predefiniti mostrati sotto.
Clicca sul creare pulsante e quindi sposta il mouse intorno all'area vuota fino a quando la barra di avanzamento non si sposta completamente.
Una volta generate le chiavi, è necessario digitare una passphrase, che è fondamentalmente come una password per sbloccare la chiave.
È una buona idea usare una passphrase lunga per proteggere la chiave dagli attacchi brute-force. Dopo aver digitato due volte la passphrase, fai clic su Salva la chiave pubblica e Salva la chiave privata pulsanti. Assicurati che questi file siano salvati in un luogo sicuro, preferibilmente in un contenitore criptato di qualche tipo che richiede l'apertura di una password. Dai un'occhiata al mio post su come utilizzare VeraCrypt per creare un volume crittografato.
Aggiungi utente e chiave
Ora torna al Autenticazione utente SSH schermo eravamo in precedenza. Ecco dove è possibile scegliere tra due diverse opzioni. In primo luogo, andare a Amministrazione - Profili utente per vedere quali account hai attualmente per il login.
Come puoi vedere, ho un account chiamato akishore per accedere al mio switch. Attualmente, posso utilizzare questo account per accedere alla GUI basata sul Web e alla CLI. Indietro sul Autenticazione utente SSH pagina, l'utente che devi aggiungere al Tabella di autenticazione utente SSH (con chiave pubblica) può essere uguale a quello che hai sotto Amministrazione - Account utente o diverso.
Se si sceglie lo stesso nome utente, è possibile controllare Abilitare pulsante sotto Login automatico e quando si accede allo switch, sarà sufficiente digitare il nome utente e la password per la chiave privata e si verrà registrati.
Se decidi di scegliere un nome utente diverso qui, riceverai un prompt dove inserire il nome utente e la password della chiave privata SSH e dovrai inserire il tuo nome utente e password (elencati sotto Admin - Account utente) . Se vuoi una sicurezza extra, usa un nome utente diverso, altrimenti chiamalo come quello attuale.
Fai clic sul pulsante Aggiungi e otterrai il Aggiungi utente SSH finestra pop-up.
Assicurati che il Tipo chiave è impostato su RSA e poi vai avanti e apri il tuo file di chiave SSH pubblico che hai salvato in precedenza utilizzando un programma come Blocco note. Copia l'intero contenuto e incollalo nel Chiave pubblica finestra. Clic Applicare e quindi fare clic Vicino se ottieni un Successo messaggio in alto.
Accedi utilizzando la chiave privata
Ora tutto ciò che dobbiamo fare è accedere utilizzando la nostra chiave privata e password. A questo punto, quando si tenta di accedere, è necessario immettere le credenziali di accesso due volte: una volta per la chiave privata e una volta per l'account utente normale. Una volta abilitato il login automatico, dovrai solo inserire il nome utente e la password per la chiave privata e ti troverai dentro.
Apri puTTY e inserisci l'indirizzo IP del tuo switch in Nome host scatola come al solito. Tuttavia, questa volta, avremo bisogno di caricare anche la chiave privata in puTTY. Per fare questo, espandere Connessione, quindi espandere SSH e quindi fare clic su auth.
Clicca sul Navigare pulsante sotto File di chiavi private per l'autenticazione e seleziona il file della chiave privata salvato da puTTY in precedenza. Ora fai clic sul Aperto pulsante per connettersi.
Il primo prompt sarà accedi come e questo dovrebbe essere il nome utente che hai aggiunto agli utenti SSH. Se hai usato lo stesso nome utente del tuo account utente principale, non importa.
Nel mio caso, ho usato akishore per entrambi gli account utente, ma ho usato password diverse per la chiave privata e per il mio account utente principale. Se lo desideri, puoi rendere uguali anche le password, ma non serve a nulla, specialmente se abiliti il login automatico.
Ora se non si desidera effettuare il doppio login per accedere all'interruttore, selezionare Abilitare scatola accanto a Accesso automatico sul Autenticazione utente SSH pagina.
Quando è abilitato, dovrai solo digitare le credenziali per l'utente SSH e sarai loggato.
È un po 'complicato, ma ha senso una volta che ci giochi. Come ho detto prima, scriverò anche i comandi CLI una volta che posso ottenere la chiave privata nel formato corretto. Seguendo le istruzioni qui, l'accesso al tuo switch tramite SSH dovrebbe essere molto più sicuro ora. In caso di problemi o domande, inserisci i commenti. Godere!