Zuvor habe ich darüber geschrieben, wie Sie den SSH-Zugriff auf Ihren Cisco-Switch aktivieren können, indem Sie die Einstellung in der GUI-Oberfläche aktivieren. Dies ist großartig, wenn Sie über eine verschlüsselte Verbindung auf Ihre Switch-CLI zugreifen möchten, es sind jedoch nur ein Benutzername und ein Kennwort erforderlich.
Wenn Sie diesen Switch in einem hochsensiblen Netzwerk verwenden, das sehr sicher sein muss, sollten Sie die Aktivierung der Public-Key-Authentifizierung für Ihre SSH-Verbindung in Betracht ziehen. Für maximale Sicherheit können Sie tatsächlich einen Benutzernamen / ein Kennwort und eine Authentifizierung mit einem öffentlichen Schlüssel für den Zugriff auf Ihren Switch aktivieren.
In diesem Artikel zeige ich Ihnen, wie Sie die Authentifizierung mit öffentlichen Schlüsseln auf einem SG300-Cisco-Switch aktivieren und die öffentlichen und privaten Schlüsselpaare mithilfe von puTTYGen generieren. Ich zeige Ihnen dann, wie Sie sich mit den neuen Schlüsseln anmelden. Außerdem zeige ich Ihnen, wie Sie es so konfigurieren, dass Sie sich entweder nur mit dem Schlüssel anmelden können oder den Benutzer dazu zwingen, einen Benutzernamen / ein Kennwort zusammen mit dem privaten Schlüssel einzugeben.
Hinweis: Bevor Sie mit diesem Tutorial beginnen, stellen Sie sicher, dass Sie den SSH-Dienst auf dem Switch bereits aktiviert haben, den ich in meinem vorherigen Artikel erwähnt habe.
Aktivieren Sie die SSH-Benutzerauthentifizierung mit dem öffentlichen Schlüssel
Insgesamt ist der Prozess, wie die Authentifizierung mit öffentlichen Schlüsseln für SSH funktioniert, unkompliziert. In meinem Beispiel zeige ich Ihnen, wie Sie die Funktionen über die webbasierte GUI aktivieren. Ich habe versucht, die CLI-Schnittstelle zu verwenden, um die Authentifizierung mit einem öffentlichen Schlüssel zu aktivieren, aber das Format für meinen privaten RSA-Schlüssel wurde nicht akzeptiert.
Sobald das funktioniert, werde ich diesen Beitrag mit den CLI-Befehlen aktualisieren, mit denen erreicht wird, was wir jetzt über die GUI tun werden. Klicken Sie zuerst auf Sicherheit, dann SSH-Server und schlussendlich SSH-Benutzerauthentifizierung.
Überprüfen Sie im rechten Bereich das Kontrollkästchen Aktivieren Sie das Kontrollkästchen neben der SSH-Benutzerauthentifizierung mit dem öffentlichen Schlüssel. Drücke den Sich bewerben Schaltfläche, um die Änderungen zu speichern. Überprüfen Sie nicht das Aktivieren Schaltfläche neben Automatisches Login Ich werde das noch weiter unten erklären.
Nun müssen wir einen SSH-Benutzernamen hinzufügen. Bevor wir mit dem Hinzufügen des Benutzers beginnen, müssen wir zuerst einen öffentlichen und einen privaten Schlüssel generieren. In diesem Beispiel verwenden wir puTTYGen, ein Programm, das mit puTTY geliefert wird.
Generieren Sie private und öffentliche Schlüssel
Um die Schlüssel zu generieren, öffnen Sie zuerst puTTYGen. Es erscheint ein leerer Bildschirm, und Sie sollten keine der Einstellungen von den unten gezeigten Standardeinstellungen ändern müssen.
Klicke auf das Generieren und bewegen Sie dann Ihre Maus über den leeren Bereich, bis die Fortschrittsleiste ganz durchgeht.
Nachdem die Schlüssel generiert wurden, müssen Sie eine Passphrase eingeben. Dies ist im Wesentlichen ein Kennwort, um den Schlüssel zu entsperren.
Es empfiehlt sich, eine lange Passphrase zu verwenden, um den Schlüssel vor Brute-Force-Angriffen zu schützen. Wenn Sie die Passphrase zweimal eingegeben haben, klicken Sie auf Öffentlichen Schlüssel speichern und Speichern Sie den privaten Schlüssel Tasten. Stellen Sie sicher, dass diese Dateien an einem sicheren Ort gespeichert werden, vorzugsweise in einem verschlüsselten Container, der zum Öffnen ein Kennwort erfordert. Schauen Sie sich meinen Beitrag zur Verwendung von VeraCrypt an, um ein verschlüsseltes Volume zu erstellen.
Benutzer & Schlüssel hinzufügen
Nun zurück zum SSH-Benutzerauthentifizierung Bildschirm, auf dem wir früher waren. Hier können Sie aus zwei verschiedenen Optionen wählen. Zuerst gehe zu Verwaltung - Benutzerkonten um zu sehen, welche Konten Sie derzeit für die Anmeldung haben.
Wie Sie sehen, habe ich ein Konto namens akishore für den Zugriff auf meinen Switch. Derzeit kann ich mit diesem Konto auf die webbasierte GUI und die CLI zugreifen. Zurück auf der SSH-Benutzerauthentifizierung Seite, der Benutzer, den Sie hinzufügen müssen SSH-Benutzerauthentifizierungstabelle (nach öffentlichem Schlüssel) kann entweder dasselbe sein wie das, was Sie haben Administration - Benutzerkonten oder anders.
Wenn Sie denselben Benutzernamen wählen, können Sie das überprüfen Aktivieren Taste unter Automatisches Login Wenn Sie sich beim Switch anmelden, müssen Sie lediglich den Benutzernamen und das Kennwort für den privaten Schlüssel eingeben, und Sie werden angemeldet.
Wenn Sie sich für einen anderen Benutzernamen entscheiden, werden Sie aufgefordert, den Benutzernamen und das Kennwort des privaten SSH-Schlüssels einzugeben. Anschließend müssen Sie Ihren normalen Benutzernamen und Ihr Kennwort eingeben (unter Admin - Benutzerkonten aufgeführt). . Wenn Sie die zusätzliche Sicherheit wünschen, verwenden Sie einen anderen Benutzernamen. Andernfalls benennen Sie ihn genauso wie Ihren aktuellen.
Klicken Sie auf die Schaltfläche Hinzufügen und Sie erhalten die SSH-Benutzer hinzufügen Fenster öffnet sich.
Stellen Sie sicher, dass Schlüsselart ist auf RSA gesetzt, öffnen Sie dann Ihre öffentliche SSH-Schlüsseldatei, die Sie zuvor mit einem Programm wie dem Editor gespeichert haben. Kopieren Sie den gesamten Inhalt und fügen Sie ihn in das ein Öffentlicher Schlüssel Fenster. Klicken Sich bewerben und klicken Sie dann auf Schließen wenn du einen bekommst Erfolg Nachricht an der Spitze.
Login mit privatem Schlüssel
Jetzt müssen wir uns nur noch mit unserem privaten Schlüssel und Passwort anmelden. Wenn Sie sich jetzt anmelden, müssen Sie die Anmeldeinformationen zweimal eingeben: einmal für den privaten Schlüssel und einmal für das normale Benutzerkonto. Sobald wir die automatische Anmeldung aktiviert haben, müssen Sie nur noch den Benutzernamen und das Kennwort für den privaten Schlüssel eingeben.
Öffnen Sie puTTY und geben Sie die IP-Adresse Ihres Switches in das Feld ein Hostname Box wie gewohnt. Diesmal müssen wir jedoch den privaten Schlüssel auch in puTTY laden. Erweitern Sie dazu Verbindungdann erweitern SSH und klicken Sie dann auf Auth.
Klicke auf das Durchsuche Taste unter Datei mit privatem Schlüssel zur Authentifizierung und wählen Sie die private Schlüsseldatei aus, die Sie zuvor in puTTY gespeichert haben. Klicken Sie jetzt auf Öffnen Taste zum Verbinden.
Die erste Aufforderung wird sein Anmelden als und das sollte der Benutzername sein, den Sie unter SSH-Benutzern hinzugefügt haben. Wenn Sie denselben Benutzernamen wie Ihr Hauptbenutzerkonto verwendet haben, ist dies unwichtig.
In meinem Fall habe ich Akishore für beide Benutzerkonten verwendet, jedoch unterschiedliche Kennwörter für den privaten Schlüssel und für mein Hauptbenutzerkonto. Wenn Sie möchten, können Sie die Passwörter auch gleich festlegen, aber es ist sinnlos, dies zu tun, insbesondere wenn Sie die automatische Anmeldung aktivieren.
Wenn Sie sich nicht doppelt anmelden müssen, um in den Switch einzusteigen, überprüfen Sie die Option Aktivieren Kästchen neben Automatisches Login auf der SSH-Benutzerauthentifizierung Seite.
Wenn diese Option aktiviert ist, müssen Sie nur noch die Anmeldeinformationen für den SSH-Benutzer eingeben und Sie werden angemeldet.
Es ist ein bisschen kompliziert, macht aber Sinn, wenn man damit herumspielt. Wie bereits erwähnt, schreibe ich auch die CLI-Befehle, sobald ich den privaten Schlüssel im richtigen Format erhalten kann. Wenn Sie den Anweisungen hier folgen, sollte der Zugriff auf Ihren Switch über SSH jetzt wesentlich sicherer sein. Wenn Sie auf Probleme stoßen oder Fragen haben, schreiben Sie in den Kommentaren. Genießen!