Bienvenido! volvemos otra vez con este post que nos gustaría que te sea de gran utilidad y solucione tus dudas ¡Vamos a ello!
Anteriormente, escribí sobre cómo puede habilitar el acceso SSH a su conmutador Cisco habilitando la configuración en la interfaz GUI. Esto es excelente si desea acceder a la CLI de su conmutador a través de una conexión encriptada, pero aún se basa solo en un nombre de usuario y contraseña.
Si está utilizando este conmutador en una red altamente sensible que necesita ser muy segura, entonces puede considerar habilitar la autenticación de clave pública para su conexión SSH. De hecho, para máxima seguridad, puede habilitar un nombre de usuario / contraseña y autenticación de clave pública para acceder a su conmutador.
En este artículo, le mostraré cómo habilitar la autenticación de clave pública en un conmutador Cisco SG300 y cómo generar los pares de claves pública y privada usando puTTYGen. Luego le mostraré cómo iniciar sesión con las nuevas claves. Además, le mostraré cómo configurarlo para que pueda usar solo la clave para iniciar sesión o forzar al usuario a escribir un nombre de usuario / contraseña junto con el uso de la clave privada.
Nota: Antes de comenzar con este tutorial, asegúrese de haber habilitado el servicio SSH en el conmutador, que mencioné en mi artículo anterior vinculado anteriormente.
Habilitar la autenticación de usuario SSH mediante clave pública
En general, el proceso para hacer que la autenticación de clave pública funcione para SSH es sencillo. En mi ejemplo, le mostraré cómo habilitar las funciones usando la GUI basada en web. Intenté usar la interfaz CLI para habilitar la autenticación de clave pública, pero no aceptaba el formato de mi clave RSA privada.
Una vez que lo haga funcionar, actualizaré esta publicación con los comandos CLI que lograrán lo que haremos a través de la GUI por ahora. Primero, haga clic en Seguridad, entonces Servidor SSH y finalmente Autenticación de usuario SSH.
En el panel de la derecha, siga adelante y compruebe Habilite la casilla junto a Autenticación de usuario SSH por clave pública. Haga clic en el Aplicar para guardar los cambios. No marques el Habilitar botón junto a Inicio de sesión automático todavía, ya que lo explicaré más adelante.
Ahora tenemos que agregar un nombre de usuario SSH. Antes de comenzar a agregar el usuario, primero tenemos que generar una clave pública y privada. En este ejemplo, usaremos puTTYGen, que es un programa que viene con puTTY.
Generar claves públicas y privadas
Para generar las claves, siga adelante y abra puTTYGen primero. Verá una pantalla en blanco y realmente no debería tener que cambiar ninguna de las configuraciones de los valores predeterminados que se muestran a continuación.
Clickea en el Generar y luego mueva el mouse alrededor del área en blanco hasta que la barra de progreso se extienda por completo.
Una vez que se han generado las claves, debe escribir una frase de contraseña, que es básicamente como una contraseña para desbloquear la clave.
Es una buena idea usar una frase de contraseña larga para proteger la clave de ataques de fuerza bruta. Una vez que haya escrito la frase de contraseña dos veces, debe hacer clic en el Guardar clave pública y Guardar clave privada botones. Asegúrese de que estos archivos se guarden en una ubicación segura, preferiblemente en un contenedor cifrado de algún tipo que requiera una contraseña para abrirse. Mira mi publicación sobre el uso VeraCrypt para crear un volumen encriptado.
Agregar usuario y clave
Ahora volvamos al Autenticación de usuario SSH pantalla en la que estábamos antes. Aquí es donde puede elegir entre dos opciones diferentes. Primero, ve a Administración – Cuentas de usuario para ver qué cuentas tiene actualmente para iniciar sesión.
Como puede ver, tengo una cuenta llamada akishore para acceder a mi interruptor. Actualmente, puedo usar esta cuenta para acceder a la GUI basada en web y a la CLI. De vuelta en el Autenticación de usuario SSH página, el usuario que necesita agregar a la Tabla de autenticación de usuario SSH (por clave pública) puede ser el mismo que tienes debajo Administración: cuentas de usuario o diferente.
Si elige el mismo nombre de usuario, puede marcar el Habilitar botón debajo Inicio de sesión automático y cuando vaya a iniciar sesión en el conmutador, simplemente tendrá que escribir el nombre de usuario y la contraseña para la clave privada e iniciará sesión.
Si decide elegir un nombre de usuario diferente aquí, aparecerá un mensaje en el que debe ingresar el nombre de usuario y la contraseña de la clave privada SSH y luego deberá ingresar su nombre de usuario y contraseña normales (enumerados en Admin – Cuentas de usuario) . Si desea seguridad adicional, use un nombre de usuario diferente; de lo contrario, simplemente llámelo con el mismo nombre que el actual.
Haga clic en el botón Agregar y obtendrá el Agregar usuario SSH ventana emergente.
Asegúrate que Tipo de clave está configurado en RSA y luego continúe y abra su archivo de clave SSH pública que guardó anteriormente usando un programa como el Bloc de notas. Copie todo el contenido y péguelo en el Llave pública ventana. Hacer clic Aplicar y luego haga clic en Cerrar si obtienes un Éxito mensaje en la parte superior.
Iniciar sesión con clave privada
Ahora todo lo que tenemos que hacer es iniciar sesión con nuestra clave privada y contraseña. En este punto, cuando intente iniciar sesión, deberá ingresar las credenciales de inicio de sesión dos veces: una para la clave privada y otra para la cuenta de usuario normal. Una vez que habilitemos el inicio de sesión automático, solo tendrá que ingresar el nombre de usuario y la contraseña para la clave privada y estará dentro.
Abra puTTY e ingrese la dirección IP de su conmutador en el Nombre de host caja como de costumbre. Sin embargo, esta vez, también necesitaremos cargar la clave privada en puTTY. Para hacer esto, expanda Conexión, luego expande SSH y luego haga clic en Auth.
Clickea en el Vistazo botón debajo Archivo de clave privada para autenticación y seleccione el archivo de clave privada que guardó de puTTY anteriormente. Ahora haga clic en el Abierto botón para conectar.
El primer mensaje será iniciar sesión como y ese debe ser el nombre de usuario que agregó en Usuarios SSH. Si usó el mismo nombre de usuario que su cuenta de usuario principal, entonces no importará.
En mi caso, usé akishore para ambas cuentas de usuario, pero usé contraseñas diferentes para la clave privada y para mi cuenta de usuario principal. Si lo desea, también puede hacer que las contraseñas sean iguales, pero no tiene sentido hacerlo realmente, especialmente si habilita el inicio de sesión automático.
Ahora, si no desea tener que iniciar sesión dos veces para ingresar al interruptor, marque la Habilitar cuadro junto a Inicio de sesión automático sobre el Autenticación de usuario SSH página.
Cuando esto esté habilitado, ahora solo tendrá que escribir las credenciales para el usuario SSH e iniciará sesión.
Es un poco complicado, pero tiene sentido una vez que juegas con él. Como mencioné anteriormente, también escribiré los comandos de la CLI una vez que pueda obtener la clave privada en el formato adecuado. Siguiendo las instrucciones aquí, acceder a su conmutador a través de SSH debería ser mucho más seguro ahora. Si tiene problemas o tiene preguntas, publique en los comentarios. ¡Disfrutar!