Habilite la autenticación de la clave pública para SSH en los interruptores Cisco SG300

Anteriormente, escribí sobre cómo puede habilitar el acceso SSH a su conmutador Cisco habilitando la configuración en la interfaz GUI. Esto es excelente si desea acceder a su CLI de interruptor a través de una conexión encriptada, pero aún depende de solo un nombre de usuario y contraseña.

Si está utilizando este interruptor en una red altamente confidencial que debe ser muy segura, entonces puede considerar habilitar la autenticación de la clave pública para su conexión SSH. En realidad, para la máxima seguridad, puede habilitar un nombre de usuario/contraseña y autenticación de clave pública para el acceso a su interruptor.

En este artículo, le mostraré cómo habilitar la autenticación de la clave pública en un interruptor SG300 Cisco y cómo generar los pares de claves públicas y privadas usando Puttygen. Luego te mostraré cómo iniciar sesión usando las nuevas teclas. Además, le mostraré cómo configurarlo para que pueda usar solo la clave para iniciar sesión o obligar al usuario a escribir un nombre de usuario/contraseña junto con el uso de la clave privada.

Nota: Antes de comenzar en este tutorial, asegúrese de haber habilitado el servicio SSH en el interruptor, que mencioné en mi artículo anterior vinculado anteriormente. 

Habilitar la autenticación de usuarios de SSH por clave pública

En general, el proceso para obtener la autenticación de la clave pública para que funcione para SSH es sencillo. En mi ejemplo, le mostraré cómo habilitar las funciones utilizando la GUI basada en la web. Traté de usar la interfaz CLI para habilitar la autenticación de la clave pública, pero no aceptaría el formato para mi clave RSA privada.

Una vez que haga que funcione, actualizaré esta publicación con los comandos CLI que logren lo que haremos a través de la GUI por ahora. Primero, haga clic en Seguridad, entonces Servidor ssh y finalmente Autenticación de usuario de SSH.

Clickea en el Generar Botón y luego mueva el mouse alrededor del área en blanco hasta que la barra de progreso llegue por completo.

Una vez que se han generado las claves, debe escribir una frase de contraseña, que es básicamente como una contraseña para desbloquear la tecla.

Es una buena idea usar una frase de pases larga para proteger la llave de los ataques de fuerza bruta. Una vez que haya escrito dos veces en la frase de pases, debe hacer clic en el Guardar clave pública y Guardar clave privada botones. Asegúrese de que estos archivos se guarden en una ubicación segura, preferiblemente en un contenedor encriptado de algún tipo que requiere una contraseña para abrir. Echa un vistazo a mi publicación sobre el uso de Veracrypt para crear un volumen encriptado.

Agregar usuario y tecla

Ahora de vuelta al Autenticación de usuario de SSH pantalla en la que estábamos antes. Aquí es donde puede elegir entre dos opciones diferentes. En primer lugar, ve a Administración - Cuentas de usuario para ver qué cuentas tiene actualmente para iniciar sesión.

Como puede ver, tengo una cuenta llamada Akishore para acceder a mi interruptor. Actualmente, puedo usar esta cuenta para acceder a la GUI basada en la web y la CLI. De vuelta en el Autenticación de usuario de SSH página, el usuario que necesita agregar al Tabla de autenticación de usuario de SSH (por clave pública) puede ser lo mismo que tienes debajo Administración: cuentas de usuario o diferente.

Si elige el mismo nombre de usuario, puede verificar el Permitir botón debajo Inicio de sesión automático y cuando vaya a iniciar sesión en el conmutador, simplemente tendrá que escribir el nombre de usuario y la contraseña para la clave privada y se registrará.

Si decide elegir un nombre de usuario diferente aquí, obtendrá un mensaje en el que debe ingresar el nombre de usuario y la contraseña de clave privada SSH y luego tendrá que ingresar su nombre de usuario y contraseña normales (enumerados en Admin - Cuentas de usuario). Si desea la seguridad adicional, use un nombre de usuario diferente, de lo contrario solo asígnele lo mismo que el actual.

Haga clic en el botón Agregar y obtendrá el Agregar usuario de SSH ventana emergente.

Asegúrate que Tipo de llave está configurado en RSA y luego continúe y abra su archivo de clave SSH público que guardó anteriormente usando un programa como el bloc de notas. Copie todo el contenido y péguelo en el Llave pública ventana. Hacer clic Aplicar y luego haga clic Cerca Si obtienes un Éxito Mensaje en la parte superior.

Iniciar sesión usando la clave privada

Ahora todo lo que tenemos que hacer es iniciar sesión usando nuestra clave privada y contraseña. En este punto, cuando intente iniciar sesión, deberá ingresar credenciales de inicio de sesión dos veces: una vez para la clave privada y una para la cuenta de usuario normal. Una vez que habilitemos el inicio de sesión automático, solo tendrá que ingresar el nombre de usuario y la contraseña para la clave privada y estará en.

Abra la masilla e ingrese la dirección IP de su conmutador en el Nombre de host caja como de costumbre. Sin embargo, esta vez, tendremos que cargar la clave privada en masilla también. Para hacer esto, expandir Conexión, luego expandir Ssh y luego haga clic en Auténtico.

Clickea en el Navegar botón debajo Archivo de clave privada para la autenticación y seleccione el archivo de clave privada que guardó de Fastty antes. Ahora haga clic en el Abierto Botón para conectarse.

El primer aviso será iniciar sesión como Y ese debería ser el nombre de usuario que agregó bajo los usuarios de SSH. Si usó el mismo nombre de usuario que su cuenta de usuario principal, entonces no importará.

En mi caso, utilicé Akishore para ambas cuentas de usuario, pero utilicé diferentes contraseñas para la clave privada y para mi cuenta de usuario principal. Si lo desea, también puede hacer que las contraseñas también, pero no tiene sentido hacerlo realmente, especialmente si habilita el inicio de sesión automático.

Ahora, si no desea tener que iniciar doble sesión para ingresar al interruptor, verifique el Permitir caja al lado de Inicio de sesión automático sobre el Autenticación de usuario de SSH página.

Cuando esto esté habilitado, ahora solo tendrá que escribir las credenciales para el usuario de SSH y se registrará.

Es un poco complicado, pero tiene sentido una vez que juegas con él. Como mencioné anteriormente, también escribiré los comandos CLI una vez que pueda obtener la clave privada en el formato adecuado. Siguiendo las instrucciones aquí, acceder a su interruptor a través de SSH debería ser mucho más seguro ahora. Si se encuentra con problemas o tiene preguntas, publique los comentarios. Disfrutar!