Anteriormente, escrevi sobre como você pode ativar o acesso SSH ao seu switch Cisco ativando a configuração na interface da GUI. Isso é ótimo se você quiser acessar seu switch CLI através de uma conexão criptografada, mas ele ainda depende apenas de um nome de usuário e senha.
Se você estiver usando este switch em uma rede altamente sensível que precisa ser muito seguro, então você pode querer considerar a ativação da autenticação de chave pública para sua conexão SSH. Na verdade, para máxima segurança, você pode habilitar um nome de usuário / senha e autenticação de chave pública para acesso ao seu switch.
Neste artigo, mostrarei como habilitar a autenticação de chave pública em um switch Cisco SG300. e como gerar os pares de chaves públicas e privadas usando o puTTYGen. Então, mostrarei como fazer login usando as novas chaves. Além disso, mostrarei como configurá-lo para que você possa usar apenas a chave para fazer login ou forçar o usuário a digitar um nome de usuário / senha juntamente com a chave privada.
Nota: Antes de começar este tutorial, certifique-se de que você já ativou o serviço SSH no comutador, que mencionei no artigo anterior vinculado acima.
Ativar autenticação de usuário SSH por chave pública
Em geral, o processo para obter autenticação de chave pública para trabalhar com SSH é simples. No meu exemplo, mostrarei como ativar os recursos usando a GUI baseada na web. Tentei usar a interface CLI para ativar a autenticação de chave pública, mas ela não aceitaria o formato da minha chave RSA privada.
Depois que eu conseguir esse trabalho, atualizarei esta postagem com os comandos CLI que vai realizar o que vamos fazer através da GUI por enquanto. Primeiro, clique em Segurança, depois em SSH Servere finalmente SSH User Authentication.
No painel direito, vá em frente e marque a caixa Ativar ao lado de Autenticação do usuário SSH por chave pública. Clique no botão Aplicarpara salvar as alterações. Não marque o botão Ativarao lado de Login automáticoainda, já que explicarei isso mais adiante.
Agora, precisamos adicionar um SSH nome de usuário. Antes de adicionarmos o usuário, primeiro precisamos gerar uma chave pública e privada. Neste exemplo, estaremos usando o puTTYGen, que é um programa que vem com o puTTY.
Gere chaves públicas e privadas
Para gerar as chaves, vá em frente e abra o puTTYGen primeiro . Você verá uma tela em branco e realmente não precisará alterar nenhuma das configurações dos padrões mostrados abaixo.
Clique em o botão Gerare, em seguida, mova o mouse pela área em branco até que a barra de progresso avance até o fim.
Uma vez que as chaves foram geradas, você precisa digitar uma frase secreta, que é basicamente como uma senha para desbloquear a chave.
É uma boa idéia usar uma longa senha para proteger a chave contra ataques de força bruta. Depois de digitar a frase secreta duas vezes, você deve clicar nos botões Salvar chave públicae Salvar chave particular. Certifique-se de que esses arquivos sejam salvos em um local seguro, de preferência em um contêiner criptografado de algum tipo que exija uma senha para abrir. Confira meu post sobre o uso de VeraCrypt para criar um volume criptografado.
Adicionar usuário & amp; Tecla
Agora voltamos à tela Autenticação do usuário SSHna qual estávamos anteriormente. Aqui é onde você pode escolher entre duas opções diferentes. Em primeiro lugar, vá para Administração- Contas de usuáriopara ver quais contas você tem atualmente para fazer login.
Como você pode ver, tenho uma conta chamada akishore para acessar meu switch. Atualmente, posso usar essa conta para acessar a GUI baseada na web e a CLI. De volta à página Autenticação de usuário SSH, o usuário que você precisa adicionar à Tabela de autenticação de usuário SSH (por chave pública)pode ser o mesmo que você tem em Administração - Contas de usuárioou diferentes.
Se você escolher o mesmo nome de usuário, poderá verificar o botão Ativarsob Login automáticoe quando você for fazer login no switch, você simplesmente terá que digitar o nome de usuário e a senha da chave privada e você estará logado.
Se você decidir escolher um nome de usuário diferente aqui, você receberá um aviso no qual deverá inserir o nome de usuário e a senha da chave privada do SSH e, em seguida, deverá digitar seu nome de usuário e senha normais (listados em Admin - Contas do usuário). Se você quer segurança extra, use um nome de usuário diferente, senão dê o mesmo nome que o atual.
Clique no botão Adicionar e você terá o Adicionar Usuário SSHjanela pop-up.
7
Verifique se o tipo de chaveestá definido como RSA e, em seguida, vá em frente e abra seu público Arquivo de chave SSH que você salvou anteriormente usando um programa como o Bloco de Notas. Copie todo o conteúdo e cole-o na janela Chave pública. Clique em Aplicare clique em Fecharse você receber uma mensagem Sucessona parte superior.
Login usando a chave privada
Agora tudo o que precisamos fazer é logar usando nossa chave privada e senha. Nesse momento, quando você tentar fazer login, precisará inserir as credenciais de login duas vezes: uma para a chave privada e outra para a conta de usuário normal. Uma vez que ativamos o login automático, basta digitar o nome de usuário e a senha da chave privada e você estará em.
Abra o puTTY e digite o endereço IP do seu switch no >Nome do hostcomo de costume. No entanto, desta vez, também precisaremos carregar a chave privada em puTTY. Para fazer isso, expanda Connection, expanda SSHe clique em Auth.
Clique no botão Procurarem Arquivo de chave privada para autenticaçãoe selecione o arquivo de chave privada que você salvou de puTTY anteriormente. Agora clique no botão Abrirpara conectar-se.
O primeiro prompt será login comoe deve ser o nome de usuário que você adicionou em usuários SSH. Se você usou o mesmo nome de usuário da sua conta de usuário principal, isso não importará.
No meu caso, usei akishore para ambas as contas de usuário, mas usei senhas diferentes para a chave privada e para minha conta de usuário principal. Se você quiser, pode tornar as senhas as mesmas também, mas não faz sentido fazer isso, especialmente se você ativar o login automático.
Agora, se você não quiser ter que fazer login duplo para obter no switch, marque a caixa Ativarao lado de Login automáticona página Autenticação do usuário SSH.
Quando isto estiver ativado, você terá que digitar as credenciais do usuário do SSH e estará logado.
É um pouco complicado, mas faz sentido quando você brinca com ele. Como mencionei anteriormente, também escreverei os comandos da CLI quando puder obter a chave privada no formato adequado. Seguindo as instruções aqui, acessar seu switch via SSH deve ser muito mais seguro agora. Se você tiver problemas ou tiver dúvidas, poste nos comentários. Aproveite!