Anteriormente, escribí sobre cómo puede habilitar el acceso SSH a su conmutador Cisco habilitando la configuración en la interfaz GUI. Esto es excelente si desea acceder a su CLI de conmutador a través de una conexión cifrada, pero todavía depende de un nombre de usuario y contraseña.
Si está utilizando este conmutador en una red altamente sensible que necesita ser muy seguro, entonces es posible que desee considerar habilitar la autenticación de clave pública para su conexión SSH. En realidad, para obtener la máxima seguridad, puede habilitar un nombre de usuario / contraseña y autenticación de clave pública para acceder a su interruptor.
En este artículo, le mostraré cómo habilitar la autenticación de clave pública en un conmutador Cisco SG300 y cómo generar los pares de claves públicas y privadas usando puTTYGen. Luego, le mostraré cómo iniciar sesión usando las nuevas claves. Además, le mostraré cómo configurarlo para que pueda usar solo la clave para iniciar sesión o forzar al usuario a escribir un nombre de usuario / contraseña junto con el uso de la clave privada.
Nota: antes de comenzar con este tutorial, asegúrese de haber habilitado el servicio SSH en el conmutador, que mencioné en mi artículo anterior vinculado anteriormente.
Habilite la autenticación de usuario SSH mediante clave pública
En general, el proceso para que la autenticación de clave pública funcione para SSH es sencillo. En mi ejemplo, le mostraré cómo habilitar las características usando la GUI basada en la web. Traté de usar la interfaz CLI para habilitar la autenticación de clave pública, pero no aceptaría el formato de mi clave RSA privada.
Una vez que funcione, actualizaré esta publicación con los comandos CLI que lograremos lo que haremos a través de la GUI por ahora. Primero, haga clic en Seguridad, luego Servidor SSHy finalmente Autenticación de usuario SSH.
En el panel de la derecha, marque la casilla Habilitar al lado de Autenticación de usuario SSH mediante clave pública. Haga clic en el botón Aplicarpara guardar los cambios. No marque el botón Habilitaral lado de Inicio de sesión automáticoaún, ya que lo explicaré más adelante.
Ahora tenemos que agregar un SSH nombre de usuario. Antes de entrar en la adición del usuario, primero tenemos que generar una clave pública y privada. En este ejemplo, usaremos puTTYGen, que es un programa que viene con puTTY.
Genere claves privadas y públicas
Para generar las claves, siga adelante y abra puTTYGen primero . Verá una pantalla en blanco y no debería tener que cambiar ninguna de las configuraciones predeterminadas que se muestran a continuación.
Haga clic en el botón Generary luego mueva el mouse alrededor del área en blanco hasta que la barra de progreso llegue hasta el final.
Una vez generadas las claves, debe escribir una frase de contraseña, que es básicamente como una contraseña para desbloquear la clave.
Es Una buena idea es usar una frase de contraseña larga para proteger la clave de los ataques de fuerza bruta. Una vez que haya ingresado la frase de contraseña dos veces, debe hacer clic en los botones Guardar clave públicay Guardar clave privada. Asegúrese de que estos archivos estén guardados en una ubicación segura, preferiblemente en un contenedor cifrado de algún tipo que requiere una contraseña para abrir. Mira mi publicación sobre el uso de VeraCrypt para crear un volumen encriptado.
Agregar usuario & amp; Clave
Ahora volvemos a la pantalla Autenticación de usuario SSHen la que estuvimos antes. Aquí es donde puedes elegir entre dos opciones diferentes. En primer lugar, vaya a Administración- Cuentas de usuariopara ver qué cuentas tiene actualmente para iniciar sesión.
Como puede ver, tengo una cuenta llamada akishore para acceder a mi interruptor. Actualmente, puedo usar esta cuenta para acceder a la GUI basada en la web y la CLI. De vuelta en la página Autenticación de usuario SSH, el usuario que necesita agregar a la Tabla de autenticación de usuario SSH (por clave pública)puede ser el mismo que el que tiene Administración - Cuentas de usuarioo diferentes.
Si elige el mismo nombre de usuario, puede marcar el botón Habilitaren Inicio de sesión automáticoy cuando vaya a iniciar sesión en el conmutador, simplemente tendrá que escribir el nombre de usuario y la contraseña para la clave privada y podrá iniciar sesión.
Si decide elegir un nombre de usuario diferente aquí, recibirá un aviso donde debe ingresar el nombre de usuario y contraseña de la clave privada SSH y luego deberá ingresar su nombre de usuario y contraseña normales (enumerados en Admin - Cuentas de usuario). Si desea seguridad adicional, use un nombre de usuario diferente, de lo contrario, simplemente llámelo igual al actual.
Haga clic en el botón Agregar y obtendrá Agregar usuario de SSHventana emergente.
Asegúrese de que el Tipo de claveesté configurado en RSA y luego continúe y abra su ventana pública. Archivo de clave SSH que guardó anteriormente utilizando un programa como el Bloc de notas. Copie todo el contenido y péguelo en la ventana Clave pública. Haga clic en Aplicary luego en Cerrarsi recibe un mensaje Correctoen la parte superior.
Inicie sesión usando clave privada
Ahora todo lo que tenemos que hacer es iniciar sesión usando nuestra clave privada y contraseña. En este punto, cuando intente iniciar sesión, deberá ingresar las credenciales de inicio de sesión dos veces: una para la clave privada y otra para la cuenta de usuario normal. Una vez que habilitemos el inicio de sesión automático, solo tendrá que ingresar el nombre de usuario y la contraseña de la clave privada y estará dentro.
Abra puTTY e ingrese la dirección IP de su interruptor en
Haga clic en el botón Buscaren Archivo de clave privada para la autenticacióny seleccione el archivo de clave privada que guardó anteriormente de puTTY. Ahora haz clic en el botón Abrirpara conectarte.
El primer mensaje será iniciar sesión comoy ese debería ser el nombre de usuario que agregaste a los usuarios de SSH. Si usó el mismo nombre de usuario que su cuenta de usuario principal, entonces no tendrá importancia.
En mi caso, utilicé akishore para ambas cuentas de usuario, pero utilicé contraseñas diferentes para la clave privada y para mi cuenta de usuario principal. Si lo desea, también puede hacer que las contraseñas sean las mismas, pero no tiene sentido hacer eso realmente, especialmente si habilita el inicio de sesión automático.
Ahora, si no desea tener que iniciar sesión por duplicado para obtener en el interruptor, marque la casilla Activarjunto a Inicio de sesión automáticoen la página Autenticación de usuario SSH.
Cuando está habilitado, ahora solo tendrá que escribir las credenciales para el usuario de SSH y habrá iniciado sesión.
Es un poco complicado, pero tiene sentido una vez que juegas con él. Como mencioné anteriormente, también escribiré los comandos CLI una vez que pueda obtener la clave privada en el formato correcto. Siguiendo las instrucciones aquí, acceder a su conmutador a través de SSH debería ser ahora mucho más seguro. Si tiene problemas o tiene preguntas, publique en los comentarios. ¡Disfruta!