Anteriormente, escribí sobre cómo puede habilitar el acceso SSH a su conmutador Cisco habilitando la configuración en la interfaz GUI. Esto es excelente si desea acceder a la CLI de su conmutador a través de una conexión encriptada, pero aún depende solo de un nombre de usuario y contraseña.
Si está utilizando este conmutador en una red altamente sensible que necesita ser muy segura, entonces podría considerar habilitar la autenticación de clave pública para su conexión SSH. En realidad, para mayor seguridad, puede habilitar un nombre de usuario / contraseña y una autenticación de clave pública para acceder a su conmutador.
En este artículo, le mostraré cómo habilitar la autenticación de clave pública en un conmutador Cisco SG300 y cómo generar los pares de claves pública y privada mediante puTTYGen. A continuación, te mostraré cómo iniciar sesión con las nuevas claves. Además, le mostraré cómo configurarlo para que pueda usar solo la clave para iniciar sesión o forzar al usuario a escribir un nombre de usuario / contraseña junto con el uso de la clave privada.
Nota : Antes de comenzar con este tutorial, asegúrese de que ya haya habilitado el servicio SSH en el conmutador, que mencioné en mi artículo anterior vinculado anteriormente.
Habilitar la autenticación de usuario SSH por clave pública
En general, el proceso para que la autenticación de clave pública funcione para SSH es sencillo. En mi ejemplo, le mostraré cómo habilitar las funciones mediante la GUI basada en la web. Intenté usar la interfaz CLI para habilitar la autenticación de clave pública, pero no aceptaría el formato para mi clave RSA privada.
Una vez que consiga que funcione, actualizaré esta publicación con los comandos de la CLI que lograrán lo que haremos a través de la GUI por ahora. Primero, haga clic en Seguridad, luego en Servidor SSH y finalmente en Autenticación de usuario SSH .
En el panel derecho, siga adelante y marque la casilla Habilitar junto a Autenticación de usuario SSH por clave pública . Haga clic en el botón Aplicar para guardar los cambios. No marque el botón Habilitar junto a Inicio de sesión automático todavía, como lo explicaré más adelante.
Ahora tenemos que agregar un nombre de usuario SSH. Antes de comenzar a agregar el usuario, primero debemos generar una clave pública y privada. En este ejemplo, usaremos puTTYGen, que es un programa que viene con puTTY.
Generar claves privadas y públicas
Para generar las claves, ve y abre primero puTTYGen. Verá una pantalla en blanco y realmente no debería tener que cambiar ninguna de las configuraciones de los valores predeterminados que se muestran a continuación.
Haga clic en el botón Generar y luego mueva el mouse alrededor del área en blanco hasta que la barra de progreso avance completamente.
Una vez que se han generado las claves, debe escribir una frase de contraseña, que es básicamente como una contraseña para desbloquear la clave.
Es una buena idea usar una frase de contraseña larga para proteger la clave de los ataques de fuerza bruta. Una vez que haya escrito la frase de contraseña dos veces, debe hacer clic en los botones Guardar clave pública y Guardar clave privada . Asegúrese de que estos archivos se guarden en una ubicación segura, preferiblemente en un contenedor cifrado de algún tipo que requiera una contraseña para abrir. Echa un vistazo a mi publicación sobre el uso de VeraCrypt para crear un volumen cifrado.
Añadir usuario y clave
Ahora volvemos a la pantalla de Autentificación de Usuario SSH en la que estábamos anteriormente. Aquí es donde puede elegir entre dos opciones diferentes. En primer lugar, vaya a Administración - Cuentas de usuario para ver qué cuentas tiene actualmente para iniciar sesión.
Como puede ver, tengo una cuenta llamada akishore para acceder a mi conmutador. Actualmente, puedo usar esta cuenta para acceder a la GUI basada en web y la CLI. De vuelta en la página de Autenticación de usuario de SSH, el usuario que necesita agregar a la Tabla de autenticación de usuario de SSH (por clave pública) puede ser el mismo que tiene en Administración - Cuentas de usuario o diferente.
Si elige el mismo nombre de usuario, puede marcar el botón Habilitar en Inicio de sesión automático y cuando vaya a iniciar sesión en el conmutador, simplemente tendrá que escribir el nombre de usuario y la contraseña para la clave privada y se iniciará sesión .
Si decide elegir un nombre de usuario diferente aquí, recibirá un mensaje indicando que debe ingresar el nombre de usuario y la contraseña de la clave privada de SSH y luego deberá ingresar su nombre de usuario y contraseña normales (enumerados en Admin - Cuentas de usuario) . Si desea la seguridad adicional, use un nombre de usuario diferente, de lo contrario, nombre el mismo que el actual.
Haga clic en el botón Agregar y aparecerá la ventana emergente Agregar usuario SSH .
Asegúrese de que el Tipo de clave esté configurado en RSA y luego continúe y abra su archivo público de claves SSH que guardó anteriormente usando un programa como el Bloc de notas. Copie todo el contenido y péguelo en la ventana de clave pública . Haga clic en Aplicar y luego haga clic en Cerrar si recibe un mensaje de éxito en la parte superior.
Iniciar sesión usando clave privada
Ahora todo lo que tenemos que hacer es iniciar sesión con nuestra clave privada y contraseña. En este punto, cuando intente iniciar sesión, deberá ingresar las credenciales de inicio de sesión dos veces: una para la clave privada y otra para la cuenta de usuario normal. Una vez que habilitamos el inicio de sesión automático, solo tendrás que ingresar el nombre de usuario y la contraseña de la clave privada y estarás en.
Abra puTTY e ingrese la dirección IP de su conmutador en el cuadro Nombre de host como de costumbre. Sin embargo, esta vez, también necesitaremos cargar la clave privada en puTTY. Para hacer esto, expanda Conexión, luego expanda SSH y luego haga clic en Autent .
Haga clic en el botón Examinar en Archivo de clave privada para la autenticación y seleccione el archivo de clave privada que guardó de puTTY anteriormente. Ahora haga clic en el botón Abrir para conectarse.
El primer aviso será el inicio de sesión y ese debe ser el nombre de usuario que agregó en los usuarios de SSH. Si usó el mismo nombre de usuario que su cuenta de usuario principal, entonces no importará.
En mi caso, utilicé akishore para ambas cuentas de usuario, pero usé diferentes contraseñas para la clave privada y para mi cuenta de usuario principal. Si lo desea, también puede hacer que las contraseñas sean iguales, pero no tiene sentido hacerlo realmente, especialmente si habilita el inicio de sesión automático.
Ahora, si no desea tener que iniciar sesión dos veces para ingresar al conmutador, marque la casilla Habilitar junto a Inicio de sesión automático en la página Autenticación de usuario de SSH .
Cuando esto esté habilitado, ahora solo tendrá que escribir las credenciales para el usuario de SSH y se iniciará sesión.
Es un poco complicado, pero tiene sentido una vez que juegas con él. Como mencioné anteriormente, también escribiré los comandos CLI una vez que pueda obtener la clave privada en el formato adecuado. Siguiendo las instrucciones aquí, acceder a su conmutador a través de SSH debería ser mucho más seguro ahora. Si tiene problemas o tiene preguntas, publique en los comentarios. ¡Disfrutar!