In precedenza, ho scritto su come abilitare l'accesso SSH al tuo switch Cisco abilitando le impostazioni nell'interfaccia della GUI. Questo è ottimo se vuoi accedere alla tua CLI switch tramite una connessione crittografata, ma si basa ancora solo su un nome utente e una password.
Se stai usando questo switch in una rete altamente sensibile che deve essere molto sicuro, quindi potresti prendere in considerazione l'abilitazione dell'autenticazione della chiave pubblica per la tua connessione SSH. In realtà, per la massima sicurezza, puoi abilitare un nome utente / password e l'autenticazione della chiave pubblica per l'accesso al tuo switch.
In questo articolo, ti mostrerò come abilitare l'autenticazione della chiave pubblica su uno switch Cisco SG300 e come generare le coppie di chiavi pubbliche e private usando puTTYGen. Ti mostrerò quindi come accedere utilizzando le nuove chiavi. Inoltre, ti mostrerò come configurarlo in modo che tu possa utilizzare solo la chiave per accedere o forzare l'utente a digitare un nome utente / password insieme all'utilizzo della chiave privata.
Nota: prima di iniziare questo tutorial, assicurati di aver già abilitato il servizio SSH sullo switch, che ho citato nel mio precedente articolo collegato in precedenza.
Abilita autenticazione utente SSH tramite chiave pubblica
Nel complesso, il processo per ottenere l'autenticazione della chiave pubblica affinché funzioni per SSH è semplice. Nel mio esempio, ti mostrerò come abilitare le funzionalità usando la GUI basata sul web. Ho provato a utilizzare l'interfaccia CLI per abilitare l'autenticazione della chiave pubblica, ma non accetterebbe il formato per la mia chiave RSA privata.
Una volta che ho funzionato, aggiornerò questo post con i comandi CLI che per ora realizzerò ciò che faremo tramite la GUI. Innanzitutto, fai clic su Sicurezza, quindi su Server SSHe infine su Autenticazione utente SSH.
Nel riquadro di destra, vai avanti e seleziona la casella Attiva accanto a Autenticazione utente SSH per chiave pubblica. Fai clic sul pulsante Applicaper salvare le modifiche. Non selezionare il pulsante Attivaaccanto a Login automaticoproprio come spiegherò più avanti.
Ora dobbiamo aggiungere un SSH nome utente. Prima di aggiungere l'utente, dobbiamo prima generare una chiave pubblica e privata. In questo esempio, utilizzeremo puTTYGen, che è un programma fornito con puTTY.
Genera chiavi private e pubbliche
Per generare le chiavi, vai avanti e apri prima puTTYGen . Vedrai uno schermo vuoto e non dovresti davvero dover cambiare nessuna delle impostazioni dai valori di default mostrati sotto.
Clicca su il pulsante Genera, quindi sposta il mouse intorno all'area vuota fino a quando la barra di avanzamento non si sposta completamente.
Una volta generate le chiavi, devi digitare una passphrase, che è fondamentalmente come una password per sbloccare la chiave.
È una buona idea usare una passphrase lunga per proteggere la chiave dagli attacchi brute-force. Dopo aver digitato due volte la passphrase, fai clic sui pulsanti Salva chiave pubblicae Salva chiave privata. Assicurati che questi file siano salvati in un luogo sicuro, preferibilmente in un contenitore criptato di qualche tipo che richiede l'apertura di una password. Dai un'occhiata al mio post su VeraCrypt per creare un volume crittografato.
Aggiungi utente & amp; Chiave
Ora torna alla schermata Autenticazione utente SSHin cui ci trovavamo prima. Ecco dove è possibile scegliere tra due diverse opzioni. In primo luogo, vai su Amministrazione- Account utenteper vedere quali account hai attualmente per il login.
Come puoi vedere, ho un account chiamato akishore per accedere al mio switch. Attualmente, posso utilizzare questo account per accedere alla GUI basata sul Web e alla CLI. Tornando alla pagina Autenticazione utente SSH, l'utente che devi aggiungere alla tabella di autenticazione utente SSH (con chiave pubblica)può essere uguale a quello che hai sotto Amministrazione - Account utenteo diversi.
Se scegli lo stesso nome utente, puoi selezionare il pulsante Attivain Login automaticoe quando si accede allo switch, sarà sufficiente digitare il nome utente e la password per la chiave privata e si effettuerà l'accesso.
Se si decide di scegliere un nome utente diverso qui, quindi riceverai un prompt dove devi inserire il nome utente e la password della chiave privata SSH e poi dovrai inserire il tuo nome utente e password (elencati sotto Admin - Account utente). Se desideri una maggiore sicurezza, utilizza un nome utente diverso, altrimenti assegna un nome uguale a quello attuale.
Fai clic sul pulsante Aggiungi e otterrai Aggiungi utente SSHfinestra pop up.
Assicurati che il Tipo di chiavesia impostato su RSA e poi vai avanti e apri il tuo pubblico File di chiavi SSH che hai salvato in precedenza utilizzando un programma come Blocco note. Copia l'intero contenuto e incollalo nella finestra Chiave pubblica. Fai clic su Applica, quindi su Chiudise ricevi un messaggio Successin alto.
Accedi utilizzando la chiave privata
Ora tutto ciò che dobbiamo fare è accedere usando la nostra chiave privata e password. A questo punto, quando si tenta di accedere, è necessario immettere le credenziali di accesso due volte: una volta per la chiave privata e una volta per l'account utente normale. Una volta abilitato il login automatico, dovrai solo inserire il nome utente e la password per la chiave privata e ti troverai dentro.
Apri puTTY e inserisci l'indirizzo IP del tuo switch in Nome hostcome al solito. Tuttavia, questa volta, avremo bisogno di caricare anche la chiave privata in puTTY. Per fare ciò, espandi Connessione, quindi espandi SSH, quindi fai clic su Autenticazione.
Fai clic sul pulsante Sfogliain File chiave privata per l'autenticazionee seleziona il file della chiave privata salvato da puTTY in precedenza. Ora fai clic sul pulsante Apriper connetterti.
Il primo prompt sarà login comee quello dovrebbe essere il nome utente che hai aggiunto agli utenti SSH. Se hai utilizzato lo stesso nome utente del tuo account utente principale, non importa.
Nel mio caso, ho usato akishore per entrambi gli account utente, ma ho usato password diverse per la chiave privata e per il mio account utente principale. Se lo desideri, puoi anche rendere le password uguali, ma non serve a niente, specialmente se abiliti il login automatico.
Ora se non vuoi il doppio login per ottenere nello switch, seleziona la casella Attivaaccanto a Accesso automaticonella pagina Autenticazione utente SSH.
Quando è abilitato, dovrai solo digitare le credenziali per l'utente SSH e avrai effettuato l'accesso.
È un po 'complicato, ma ha senso una volta che si gioca con esso. Come ho detto prima, scriverò anche i comandi CLI una volta che posso ottenere la chiave privata nel formato corretto. Seguendo le istruzioni qui, l'accesso al tuo switch tramite SSH dovrebbe essere molto più sicuro ora. In caso di problemi o domande, inserisci i commenti. Buon divertimento!