Precedentemente, ho scritto su come abilitare l'accesso SSH al tuo switch Cisco abilitando l'impostazione nell'interfaccia della GUI. Questo è ottimo se vuoi accedere alla tua CLI switch tramite una connessione crittografata, ma si basa ancora solo su un nome utente e una password.
Se si utilizza questo switch in una rete altamente sensibile che deve essere molto sicura, è possibile prendere in considerazione l'abilitazione dell'autenticazione della chiave pubblica per la connessione SSH. In realtà, per la massima sicurezza, puoi abilitare un nome utente / password e l'autenticazione a chiave pubblica per l'accesso al tuo switch.
In questo articolo, ti mostrerò come abilitare l'autenticazione della chiave pubblica su uno switch Cisco SG300 e come generare le coppie di chiavi pubbliche e private usando puTTYGen. Ti mostrerò quindi come accedere utilizzando le nuove chiavi. Inoltre, ti mostrerò come configurarlo in modo che tu possa utilizzare solo la chiave per accedere o forzare l'utente a digitare un nome utente / password insieme all'utilizzo della chiave privata.
Nota : prima di iniziare questo tutorial, assicurati di aver già abilitato il servizio SSH sullo switch, che ho citato nel mio precedente articolo collegato in precedenza.
Abilita autenticazione utente SSH tramite chiave pubblica
Nel complesso, il processo per far sì che l'autenticazione della chiave pubblica funzioni per SSH è semplice. Nel mio esempio, ti mostrerò come abilitare le funzionalità usando la GUI basata sul web. Ho provato a utilizzare l'interfaccia CLI per abilitare l'autenticazione a chiave pubblica, ma non accetterebbe il formato per la mia chiave RSA privata.
Una volta che ho funzionato, aggiornerò questo post con i comandi CLI che completeranno ciò che faremo tramite la GUI per ora. Innanzitutto, fai clic su Sicurezza, quindi su Server SSH e infine su Autenticazione utente SSH .
Nel riquadro a destra, andare avanti e selezionare la casella Abilita accanto a Autenticazione utente SSH per chiave pubblica . Fare clic sul pulsante Applica per salvare le modifiche. Non selezionare ancora il pulsante Attiva accanto a Login automatico, come spiegherò più avanti.
Ora dobbiamo aggiungere un nome utente SSH. Prima di aggiungere l'utente, dobbiamo prima generare una chiave pubblica e privata. In questo esempio, utilizzeremo puTTYGen, che è un programma fornito con puTTY.
Genera chiavi private e pubbliche
Per generare le chiavi, vai avanti e apri prima puTTYGen. Vedrai uno schermo vuoto e non dovresti davvero dover cambiare nessuna delle impostazioni dai valori di default mostrati sotto.
Fare clic sul pulsante Genera e quindi spostare il mouse intorno all'area vuota fino a quando la barra di avanzamento non si sposta completamente.
Una volta che le chiavi sono state generate, è necessario digitare una passphrase, che è fondamentalmente come una password per sbloccare la chiave.
È una buona idea usare una passphrase lunga per proteggere la chiave dagli attacchi brute-force. Dopo aver digitato due volte la passphrase, è necessario fare clic sui pulsanti Salva chiave pubblica e Salva chiave privata . Assicurati che questi file siano salvati in un luogo sicuro, preferibilmente in un contenitore criptato di qualche tipo che richiede l'apertura di una password. Dai un'occhiata al mio post su come utilizzare VeraCrypt per creare un volume crittografato.
Aggiungi utente e chiave
Ora torniamo alla schermata di autenticazione utente SSH in cui ci trovavamo prima. Ecco dove è possibile scegliere tra due diverse opzioni. In primo luogo, vai su Amministrazione - Account utente per vedere quali account hai attualmente per il login.
Come puoi vedere, ho un account chiamato akishore per accedere al mio switch. Attualmente, posso utilizzare questo account per accedere alla GUI basata sul Web e alla CLI. Tornando alla pagina Autenticazione utente SSH, l'utente che è necessario aggiungere alla tabella di autenticazione utente SSH (con chiave pubblica) può essere uguale a quello disponibile in Amministrazione - Account utente o diverso.
Se si sceglie lo stesso nome utente, è possibile selezionare il pulsante Abilita in Accesso automatico e quando si accede allo switch, sarà sufficiente digitare il nome utente e la password per la chiave privata e si verrà registrati .
Se decidi di scegliere un nome utente diverso qui, riceverai un prompt dove inserire il nome utente e la password della chiave privata SSH e poi dovrai inserire il tuo nome utente e password (elencati sotto Amministrazione - Account utente) . Se vuoi una sicurezza extra, usa un nome utente diverso, altrimenti chiamalo come quello attuale.
Fare clic sul pulsante Aggiungi per visualizzare la finestra Aggiungi utente SSH .
Assicurati che il Key Type sia impostato su RSA e poi vai avanti e apri il tuo file di chiave SSH pubblico che hai salvato in precedenza utilizzando un programma come Blocco note. Copia l'intero contenuto e incollalo nella finestra Chiave pubblica . Fare clic su Applica e quindi fare clic su Chiudi se si ottiene un messaggio di successo in alto.
Accedi usando la chiave privata
Ora tutto ciò che dobbiamo fare è accedere utilizzando la nostra chiave privata e password. A questo punto, quando provi ad accedere, dovrai inserire le credenziali di accesso due volte: una volta per la chiave privata e una volta per il normale account utente. Una volta abilitato il login automatico, dovrai solo inserire il nome utente e la password per la chiave privata e ti troverai dentro.
Apri puTTY e inserisci l'indirizzo IP del tuo switch nella casella Nome host come al solito. Tuttavia, questa volta, avremo bisogno di caricare anche la chiave privata in puTTY. Per fare ciò, espandere Connessione, quindi espandere SSH e fare clic su Aut .
Fare clic sul pulsante Sfoglia in File chiave privata per l'autenticazione e selezionare il file della chiave privata salvato da puTTY in precedenza. Ora fai clic sul pulsante Apri per connetterti.
Il primo prompt sarà login come e dovrebbe essere il nome utente che hai aggiunto agli utenti SSH. Se hai usato lo stesso nome utente del tuo account utente principale, non importa.
Nel mio caso, ho usato akishore per entrambi gli account utente, ma ho usato password diverse per la chiave privata e per il mio account utente principale. Se lo desideri, puoi rendere uguali anche le password, ma non serve a niente, specialmente se abiliti il login automatico.
Ora, se non si desidera effettuare il doppio login per accedere allo switch, selezionare la casella Abilita accanto a Accesso automatico nella pagina Autenticazione utente SSH .
Quando è abilitato, dovrai solo digitare le credenziali per l'utente SSH e sarai loggato.
È un po 'complicato, ma ha senso una volta che ci giochi. Come ho detto prima, scriverò anche i comandi CLI una volta che posso ottenere la chiave privata nel formato corretto. Seguendo le istruzioni qui, l'accesso al tuo switch tramite SSH dovrebbe essere molto più sicuro ora. In caso di problemi o domande, inserisci i commenti. Godere!