Anteriormente, escrevi sobre como você pode ativar o acesso SSH ao seu switch Cisco, ativando a configuração na interface GUI. Isso é ótimo se você quiser acessar sua CLI de switch através de uma conexão criptografada, mas ainda depende apenas de um nome de usuário e senha.
Se você estiver usando esse comutador em uma rede altamente sensível que precisa ser muito segura, convém considerar a possibilidade de ativar a autenticação de chave pública para sua conexão SSH. Na verdade, para segurança máxima, você pode ativar um nome de usuário / senha e autenticação de chave pública para acessar seu switch.
Neste artigo, mostrarei como ativar a autenticação de chave pública em um switch Cisco SG300 e como gerar os pares de chaves pública e privada usando o puTTYGen. Então mostrarei como fazer o login usando as novas chaves. Além disso, mostrarei como configurá-lo para que você possa usar apenas a chave para efetuar login ou forçar o usuário a digitar um nome de usuário / senha juntamente com a chave privada.
Nota : Antes de começar este tutorial, verifique se você já ativou o serviço SSH no switch, que mencionei no artigo anterior vinculado acima.
Ativar autenticação de usuário SSH por chave pública
No geral, o processo para obter autenticação de chave pública para trabalhar com o SSH é simples. No meu exemplo, mostrarei como ativar os recursos usando a GUI baseada na web. Tentei usar a interface CLI para ativar a autenticação de chave pública, mas ela não aceitaria o formato da minha chave RSA privada.
Assim que eu começar a trabalhar, atualizarei este post com os comandos da CLI que realizarão o que faremos através da GUI por enquanto. Primeiro, clique em Segurança, depois em SSH Server e finalmente em SSH User Authentication .
No painel direito, vá em frente e marque a caixa Ativar ao lado de Autenticação do usuário SSH por chave pública . Clique no botão Aplicar para salvar as alterações. Não marque o botão Habilitar ao lado de Login automático ainda, já que explicarei isso mais adiante.
Agora temos que adicionar um nome de usuário SSH. Antes de adicionarmos o usuário, primeiro temos que gerar uma chave pública e privada. Neste exemplo, usaremos o puTTYGen, que é um programa que vem com o puTTY.
Gerar Chaves Privadas e Públicas
Para gerar as chaves, vá em frente e abra o puTTYGen primeiro. Você verá uma tela em branco e realmente não precisará alterar nenhuma das configurações dos padrões mostrados abaixo.
Clique no botão Generate (Gerar ) e, em seguida, mova o mouse pela área em branco até a barra de progresso percorrer todo o caminho.
Uma vez que as chaves foram geradas, você precisa digitar uma frase secreta, que é basicamente como uma senha para desbloquear a chave.
É uma boa ideia usar uma longa frase secreta para proteger a chave contra ataques de força bruta. Depois de ter digitado a senha duas vezes, você deve clicar nos botões Salvar chave pública e Salvar chave particular . Certifique-se de que esses arquivos sejam salvos em um local seguro, de preferência em um contêiner criptografado de algum tipo que exija uma senha para abrir. Confira meu post sobre o uso do VeraCrypt para criar um volume criptografado.
Adicionar usuário e chave
Agora, voltamos à tela SSH User Authentication (Autenticação do usuário SSH ) em que estávamos anteriormente. Aqui é onde você pode escolher entre duas opções diferentes. Em primeiro lugar, vá para Administração - Contas de usuário para ver quais contas você tem atualmente para o login.
Como você pode ver, tenho uma conta chamada akishore para acessar meu switch. Atualmente, posso usar essa conta para acessar a GUI baseada na web e a CLI. De volta à página de Autenticação de Usuário SSH, o usuário que você precisa adicionar à Tabela de Autenticação de Usuário SSH (por Chave Pública) pode ser o mesmo que você tem em Administração - Contas de Usuário ou diferente.
Se você escolher o mesmo nome de usuário, poderá marcar o botão Ativar em Login automático e, quando for fazer login no comutador, basta digitar o nome de usuário e a senha da chave privada e será efetuado login. .
Se você decidir escolher um nome de usuário diferente aqui, você receberá um aviso no qual deverá inserir o nome de usuário e a senha da chave privada SSH e, em seguida, deverá digitar seu nome de usuário e senha normais (listados em Admin - Contas de Usuário). . Se você quiser segurança extra, use um nome de usuário diferente, senão dê o mesmo nome que o atual.
Clique no botão Adicionar e você verá a janela Adicionar Usuário SSH .
Verifique se o Tipo de chave está definido como RSA e, em seguida, vá em frente e abra o arquivo de chave pública SSH que você salvou anteriormente usando um programa como o Bloco de notas. Copie todo o conteúdo e cole-o na janela Chave Pública . Clique em Aplicar e, em seguida, clique em Fechar se você receber uma mensagem de sucesso no topo.
Login usando a chave privada
Agora tudo o que precisamos fazer é logar usando nossa chave privada e senha. Neste ponto, quando você tentar fazer o login, precisará inserir credenciais de login duas vezes: uma para a chave privada e outra para a conta de usuário normal. Quando habilitarmos o login automático, basta digitar o nome de usuário e a senha da chave privada e você estará em.
Abra o puTTY e digite o endereço IP do seu switch na caixa Host Name como de costume. No entanto, desta vez, precisaremos carregar a chave privada em puTTY também. Para isso, expanda Connection, em seguida, expanda SSH e clique em Auth .
Clique no botão Browse em Private key file para autenticação e selecione o arquivo de chave privada que você salvou de puTTY anteriormente. Agora clique no botão Abrir para se conectar.
O primeiro prompt será login e esse deve ser o nome de usuário que você adicionou em usuários SSH. Se você usou o mesmo nome de usuário como sua conta de usuário principal, então não importa.
No meu caso, usei akishore para ambas as contas de usuário, mas usei senhas diferentes para a chave privada e para a minha conta de usuário principal. Se quiser, você pode tornar as senhas as mesmas também, mas não faz sentido fazer isso, especialmente se você ativar o login automático.
Agora, se você não quiser fazer duplo login para entrar no switch, marque a caixa Ativar ao lado de Login automático na página Autenticação do usuário SSH .
Quando isso estiver ativado, você terá que digitar as credenciais do usuário do SSH e estará logado.
É um pouco complicado, mas faz sentido quando você joga com ele. Como mencionei anteriormente, também escreverei os comandos da CLI quando puder obter a chave privada no formato adequado. Seguindo as instruções aqui, acessar seu switch via SSH deve ser muito mais seguro agora. Se você tiver problemas ou tiver dúvidas, poste nos comentários. Apreciar!
