Anteriormente, escribí sobre cómo puede habilitar el acceso SSH a su conmutador de Cisco habilitando la configuración en la interfaz GUI. Esto es excelente si desea acceder a la CLI de su conmutador a través de una conexión encriptada, pero aún depende solo de un nombre de usuario y contraseña.
Si está utilizando este conmutador en una red altamente sensible que necesita ser muy segura, entonces debería considerar habilitar la autenticación de clave pública para su conexión SSH. En realidad, para mayor seguridad, puede habilitar un nombre de usuario / contraseña y una autenticación de clave pública para acceder a su conmutador.
En este artículo, le mostraré cómo habilitar la autenticación de clave pública en un conmutador Cisco SG300 y cómo generar los pares de claves pública y privada mediante puTTYGen. A continuación, te mostraré cómo iniciar sesión con las nuevas claves. Además, le mostraré cómo configurarlo para que pueda usar solo la clave para iniciar sesión o forzar al usuario a escribir un nombre de usuario / contraseña junto con el uso de la clave privada.
Nota: Antes de comenzar con este tutorial, asegúrate de que ya hayas habilitado el servicio SSH en el conmutador, que mencioné en mi artículo anterior vinculado anteriormente.
Habilitar la autenticación de usuario SSH por clave pública
En general, el proceso para que la autenticación de clave pública funcione para SSH es sencillo. En mi ejemplo, le mostraré cómo habilitar las funciones mediante la GUI basada en la web. Intenté usar la interfaz CLI para habilitar la autenticación de clave pública, pero no aceptaría el formato para mi clave RSA privada.
Una vez que consiga que funcione, actualizaré esta publicación con los comandos de la CLI que lograrán lo que haremos a través de la GUI por ahora. Primero, haga clic en Seguridad, entonces Servidor SSH y finalmente Autenticación de usuario SSH.
En el panel de la derecha, siga adelante y verifique la Habilitar el cuadro junto a Autenticación de usuario SSH por clave pública. Haga clic en el Aplicar Botón para guardar los cambios. No compruebe el Habilitar botón al lado de Inicio de sesión automático por el momento ya lo explicaré más abajo.
Ahora tenemos que agregar un nombre de usuario SSH. Antes de comenzar a agregar el usuario, primero debemos generar una clave pública y privada. En este ejemplo, usaremos puTTYGen, que es un programa que viene con puTTY.
Generar claves privadas y públicas
Para generar las claves, adelante y abra primero puTTYGen. Verá una pantalla en blanco y realmente no debería tener que cambiar ninguna de las configuraciones de los valores predeterminados que se muestran a continuación.
Haga clic en el Generar Presione el botón y luego mueva el mouse alrededor del área en blanco hasta que la barra de progreso avance completamente.
Una vez que se han generado las claves, debe escribir una frase de contraseña, que es básicamente como una contraseña para desbloquear la clave.
Es una buena idea usar una frase de contraseña larga para proteger la clave de los ataques de fuerza bruta. Una vez que haya escrito la frase de contraseña dos veces, debe hacer clic en el Guardar clave pública y Guardar clave privada botones. Asegúrese de que estos archivos se guarden en una ubicación segura, preferiblemente en un contenedor cifrado de algún tipo que requiera una contraseña para abrir. Echa un vistazo a mi publicación sobre el uso de VeraCrypt para crear un volumen cifrado.
Añadir usuario y clave
Ahora de vuelta a la Autenticación de usuario SSH pantalla en la que estábamos antes. Aquí es donde puede elegir entre dos opciones diferentes. En primer lugar, vaya a Administración - Cuentas de usuario para ver qué cuentas tiene actualmente para iniciar sesión.
Como puede ver, tengo una cuenta llamada akishore para acceder a mi conmutador. Actualmente, puedo usar esta cuenta para acceder a la GUI basada en web y la CLI. De vuelta en el Autenticación de usuario SSH página, el usuario que necesita agregar a la Tabla de autenticación de usuario SSH (por clave pública) puede ser igual a lo que tienes debajo Administración - Cuentas de usuario o diferente
Si elige el mismo nombre de usuario, puede verificar el Habilitar botón debajo Inicio de sesión automático y cuando vaya a iniciar sesión en el conmutador, simplemente tendrá que escribir el nombre de usuario y la contraseña para la clave privada y se iniciará sesión.
Si decide elegir un nombre de usuario diferente aquí, recibirá un aviso donde debe ingresar el nombre de usuario y la contraseña de la clave privada de SSH y luego deberá ingresar su nombre de usuario y contraseña normales (enumerados en Admin - Cuentas de usuario) . Si desea la seguridad adicional, use un nombre de usuario diferente, de lo contrario, nombre el mismo que el actual.
Haga clic en el botón Agregar y obtendrá la Añadir usuario SSH ventana emergente
Asegúrate que Tipo de llave se establece en RSA y luego continúa y abre tu archivo público de claves SSH que guardaste anteriormente usando un programa como Notepad. Copia todo el contenido y pégalo en el Llave pública ventana. Hacer clic Aplicar y luego haga clic Cerrar si obtienes un Éxito mensaje en la parte superior.
Iniciar sesión usando clave privada
Ahora todo lo que tenemos que hacer es iniciar sesión con nuestra clave privada y contraseña. En este punto, cuando intente iniciar sesión, deberá ingresar las credenciales de inicio de sesión dos veces: una para la clave privada y otra para la cuenta de usuario normal. Una vez que habilitamos el inicio de sesión automático, solo tendrás que ingresar el nombre de usuario y la contraseña de la clave privada y estarás dentro.
Abra puTTY e ingrese la dirección IP de su interruptor en el Nombre de host caja como de costumbre. Sin embargo, esta vez, también deberemos cargar la clave privada en puTTY. Para hacer esto, expanda Conexión, luego expandir SSH y luego haga clic en Autenticación.
Haga clic en el Vistazo botón debajo Archivo de clave privada para autenticación y seleccione el archivo de clave privada que guardó de puTTY anteriormente. Ahora haga clic en el Abierto botón para conectar.
El primer aviso será iniciar sesión como y ese debe ser el nombre de usuario que agregó bajo los usuarios de SSH. Si usó el mismo nombre de usuario que su cuenta de usuario principal, entonces no importará.
En mi caso, usé akishore para ambas cuentas de usuario, pero usé diferentes contraseñas para la clave privada y para mi cuenta de usuario principal. Si lo desea, también puede hacer que las contraseñas sean iguales, pero no tiene sentido hacerlo realmente, especialmente si habilita el inicio de sesión automático.
Ahora, si no desea tener que iniciar sesión dos veces para ingresar al conmutador, verifique Habilitar caja al lado de Inicio de sesión automático sobre el Autenticación de usuario SSH página.
Cuando esto esté habilitado, ahora solo tendrá que escribir las credenciales del usuario de SSH y se iniciará sesión.
Es un poco complicado, pero tiene sentido una vez que juegas con él. Como mencioné anteriormente, también escribiré los comandos CLI una vez que pueda obtener la clave privada en el formato adecuado. Siguiendo las instrucciones aquí, acceder a su conmutador a través de SSH debería ser mucho más seguro ahora. Si tiene problemas o tiene preguntas, publique en los comentarios. ¡Disfrutar!