Predtým som písal o tom, ako môžete povoliť prístup SSH k vášmu prepínaču Cisco^{(how you can enable SSH access to your Cisco switch)} povolením nastavenia v rozhraní GUI . Je to skvelé, ak chcete pristupovať k prepínaču CLI cez šifrované pripojenie, ale stále sa spolieha len na používateľské meno a heslo.

Ak používate tento prepínač vo vysoko citlivej sieti, ktorá musí byť veľmi zabezpečená, možno budete chcieť zvážiť povolenie autentifikácie verejným kľúčom pre vaše pripojenie SSH . V skutočnosti, pre maximálnu bezpečnosť, môžete povoliť overenie používateľského mena/hesla a verejného kľúča pre prístup k vášmu prepínaču.

V tomto článku vám ukážem, ako povoliť autentifikáciu verejným kľúčom na prepínači SG300 Cisco a ako generovať páry verejného a súkromného kľúča pomocou puTTYGen. Potom vám ukážem, ako sa prihlásiť pomocou nových kľúčov. Okrem toho vám ukážem, ako ho nakonfigurovať tak, aby ste mohli použiť iba kľúč na prihlásenie alebo prinútiť používateľa zadať používateľské meno/heslo spolu s použitím súkromného kľúča.

Poznámka: Skôr ako začnete s týmto tutoriálom, uistite sa, že ste už povolili službu SSH na prepínači, o ktorej som sa zmienil v predchádzajúcom článku, ktorý je prepojený vyššie. ^{(Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. )}

Povoliť overenie používateľa SSH ^{(SSH User Authentication)}verejným kľúčom^{(Public Key)}

Celkovo je proces, ako zabezpečiť fungovanie overenia verejným kľúčom pre SSH , jednoduchý. V mojom príklade vám ukážem, ako povoliť funkcie pomocou webového GUI . Pokúsil som sa použiť rozhranie CLI na povolenie autentifikácie verejným kľúčom, ale neakceptovalo formát môjho súkromného kľúča RSA .

Keď to začnem fungovať, aktualizujem tento príspevok pomocou príkazov CLI , ktoré dosiahnú to, čo teraz urobíme cez GUI . Najprv^(First) kliknite na Zabezpečenie^(Security) , potom SSH Server a nakoniec Overenie používateľa SSH^{( SSH User Authentication)} .

Na pravej table pokračujte a začiarknite políčko Povoliť vedľa položky Overenie používateľa SSH verejným kľúčom^{( Enable box next to SSH User Authentication by Public Key)} . Kliknutím na tlačidlo Použiť^(Apply) uložte zmeny. Zatiaľ nezačiarknite^(Don) tlačidlo Povoliť^(Enable) vedľa položky Automatické prihlásenie^{(Automatic login)} , pretože to vysvetlím nižšie.

Teraz musíme pridať používateľské meno SSH . Predtým, ako sa pustíme do pridávania používateľa, musíme najprv vygenerovať verejný a súkromný kľúč. V tomto príklade budeme používať putTTYGen, čo je program, ktorý prichádza s putTTY.

Generovanie súkromných a verejných kľúčov

Ak chcete vygenerovať kľúče, pokračujte a najskôr otvorte putTTYGen. Uvidíte prázdnu obrazovku a naozaj by ste nemali meniť žiadne z predvolených nastavení uvedených nižšie.

Kliknite na tlačidlo Generovať^(Generate) a potom pohybujte myšou po prázdnej oblasti, kým indikátor priebehu neprejde úplne.

Po vygenerovaní kľúčov musíte zadať prístupovú frázu, ktorá je v podstate ako heslo na odomknutie kľúča.

Na ochranu kľúča pred útokmi hrubou silou je dobré použiť dlhú prístupovú frázu. Keď dvakrát zadáte prístupovú frázu, mali by ste kliknúť na tlačidlá Uložiť verejný kľúč^{(Save public key)} a Uložiť súkromný kľúč^{(Save private key)} . Uistite sa, že sú tieto súbory uložené na bezpečnom mieste, najlepšie v nejakom zašifrovanom kontajneri, ktorý vyžaduje na otvorenie heslo. Pozrite si môj príspevok o používaní VeraCrypt na vytvorenie šifrovaného zväzku^{(VeraCrypt to create an encrypted volume)} .

Pridať používateľa a kľúč

Teraz späť na obrazovku  overenia používateľa SSH^{( SSH User Authentication)} , na ktorej sme boli predtým. Tu si môžete vybrať z dvoch rôznych možností. Najprv prejdite do časti Administrácia^{(Administration)} – Používateľské účty^{( User Accounts)} a pozrite sa, aké účty máte momentálne na prihlásenie.

Ako môžete vidieť, mám jeden účet s názvom akishore na prístup k môjmu prepínaču. V súčasnosti^(Currently) môžem tento účet použiť na prístup k webovému používateľskému rozhraniu^(GUI) a CLI . Späť^(Back) na stránke Overenie používateľa SSH^{(SSH User Authentication)} môže byť používateľ, ktorého musíte pridať do tabuľky overenia používateľa SSH (podľa verejného kľúča)^{(SSH User Authentication Table (by Public Key))}  , rovnaký ako ten, ktorý máte v časti Administrácia – Používateľské účty^{(Administration – User Accounts)} , alebo iný.

Ak si vyberiete rovnaké používateľské meno, môžete zaškrtnúť tlačidlo Povoliť v časti ^(Enable)Automatické prihlásenie^{(Automatic Login)} a keď sa prihlásite do prepínača, budete musieť jednoducho zadať používateľské meno a heslo pre súkromný kľúč a budete prihlásený .

Ak sa tu rozhodnete vybrať iné používateľské meno, zobrazí sa výzva, v ktorej musíte zadať používateľské meno a heslo súkromného kľúča SSH a potom budete musieť zadať svoje bežné používateľské meno a heslo (uvedené v časti Správca – Používateľské účty^{(Admin – User Accounts)} ) . Ak chcete ďalšie zabezpečenie, použite iné používateľské meno, inak ho pomenujte rovnako ako vaše aktuálne.

Kliknite^(Click) na tlačidlo Pridať^(Add) a zobrazí sa vyskakovacie okno Pridať používateľa SSH .^{(Add SSH User)}

Uistite sa, že typ kľúča^{(Key Type)} je nastavený na RSA , a potom pokračujte a otvorte súbor s verejným kľúčom SSH , ktorý ste si predtým uložili, pomocou programu, akým je napríklad Poznámkový blok^(Notepad) . Skopírujte celý obsah a vložte ho do okna Verejný kľúč . ^{(Public Key)}Kliknite na tlačidlo Použiť^(Apply) a potom kliknite na tlačidlo Zavrieť^(Close) , ak sa v hornej časti zobrazí správa o úspechu^(Success) .

Prihláste sa pomocou súkromného kľúča

Teraz nám ostáva už len prihlásiť sa pomocou nášho súkromného kľúča a hesla. V tomto bode, keď sa pokúsite prihlásiť, budete musieť zadať prihlasovacie údaje dvakrát: raz pre súkromný kľúč a raz pre bežný používateľský účet. Keď povolíme automatické prihlásenie, budete musieť zadať používateľské meno a heslo pre súkromný kľúč a budete tam.

Otvorte putTTY a zadajte IP adresu svojho prepínača do poľa Názov hostiteľa^{( Host Name)} ako zvyčajne. Tentoraz však budeme musieť nahrať aj súkromný kľúč do puTTY. Ak to chcete urobiť, rozbaľte položku Pripojenie^(Connection) , potom rozbaľte položku SSH a potom kliknite na položku Auth .

Kliknite na tlačidlo Prehľadávať^(Browse) pod Súborom súkromného kľúča na overenie^{(Private key file for authentication)} a vyberte súbor so súkromným kľúčom, ktorý ste predtým uložili z putTTY. Teraz kliknite na tlačidlo Otvoriť^(Open) a pripojte sa.

Prvá výzva bude prihlásenie ako^{(login as)} a malo by to byť používateľské meno, ktoré ste pridali v časti Používatelia SSH . Ak ste použili rovnaké používateľské meno ako váš hlavný používateľský účet, potom na tom nezáleží.

V mojom prípade som použil akishore pre oba používateľské účty, ale použil som iné heslá pre súkromný kľúč a pre môj hlavný používateľský účet. Ak chcete, môžete nastaviť rovnaké heslá, ale nemá zmysel to robiť, najmä ak povolíte automatické prihlásenie.

Ak teraz nechcete, aby ste sa museli dvakrát prihlasovať, aby ste sa dostali do prepínača, začiarknite políčko Povoliť^(Enable) vedľa položky Automatické prihlásenie^{( Automatic login)} na stránke Overenie používateľa SSH^{(SSH User Authentication)} .

Keď je toto povolené, budete musieť zadať prihlasovacie údaje pre používateľa SSH a budete prihlásení.

Je to trochu komplikované, ale dáva to zmysel, keď sa s tým pohráte. Ako som už spomenul, napíšem aj príkazy CLI , keď získam súkromný kľúč v správnom formáte. Podľa tu uvedených pokynov by mal byť teraz prístup k vášmu prepínaču cez SSH oveľa bezpečnejší. Ak narazíte na problémy alebo máte otázky, napíšte do komentárov. Užite si to!

Enable Public Key Authentication for SSH on Cisco SG300 Switches

Previously, I wrote about how you can enable SSH access to your Cisco switch by enabling the setting in the GUI interface. This is great if you want to access your switch CLI over an encrypted connection, but it still relies on just a username and password.

If you are using this switch in a highly sensitive network that needs to be very secure, then you might want to consider enabling public key authentication for your SSH connection. Actually, for maximum security, you can enable a username/password and public key authentication for access to your switch.

In this article, I’ll show you how to enable public key authentication on an SG300 Cisco switch and how to generate the public and private key pairs using puTTYGen. I’ll then show you how to login using the new keys. In addition, I’ll show you how to configure it so that you can either use just the key to login or force the user to type in a username/password along with using the private key.

Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. 

Enable SSH User Authentication by Public Key

Overall, the process for getting public key authentication to work for SSH is straightforward. In my example, I’ll show you how to enable the features using the web-based GUI. I tried to use the CLI interface to enable public key authentication, but it would not accept the format for my private RSA key.

Once I get that working, I’ll update this post with the CLI commands that will accomplish what we will do through the GUI for now. First, click on Security, then SSH Server and finally SSH User Authentication.

In the right-hand pane, go ahead and check the Enable box next to SSH User Authentication by Public Key. Click the Apply button to save the changes. Don’t check the Enable button next to Automatic login just yet as I’ll explain that further down.

Now we have to add a SSH user name. Before we get into adding the user, we first have to generate a public and private key. In this example, we’ll be using puTTYGen, which is a program that comes with puTTY.

Generate Private and Public Keys

To generate the keys, go ahead and open puTTYGen first. You’ll see a blank screen and you really shouldn’t have to change any of the settings from the defaults shown below.

Click on the Generate button and then move your mouse around the blank area until the progress bar go all the way across.

Once the keys have been generated, you need to type in a passphrase, which is basically like a password to unlock the key.

It’s a good idea to use a long passphrase to protect the key from brute-force attacks. Once you have typed in the passphrase twice, you should click the Save public key and Save private key buttons. Make sure these files are saved in a secure location, preferably in an encrypted container of some sort that requires a password to open. Check out my post on using VeraCrypt to create an encrypted volume.

Add User & Key

Now back to the SSH User Authentication screen we were on earlier. Here’s where you can choose from two different options. Firstly, go to Administration – User Accounts to see what accounts you currently have for login.

As you can see, I have one account called akishore for accessing my switch. Currently, I can use this account to access the web-based GUI and the CLI. Back on the SSH User Authentication page, the user you need to add to the SSH User Authentication Table (by Public Key) can either be the same as what you have under Administration – User Accounts or different.

If you choose the same user name, then you can check the Enable button under Automatic Login and when you go to log into the switch, you’ll simply have to type the username and password for the private key and you’ll be logged in.

If you decide to choose a different username here, then you will get a prompt where you have to enter the SSH private key user name and password and then you’ll have to enter your normal username and password (listed under Admin – User Accounts). If you want the extra security, use a different username, otherwise just name it the same as your current one.

Click the Add button and you’ll get the Add SSH User window pop up.

Make sure the Key Type is set to RSA and then go ahead and open your public SSH key file that you saved earlier using a program like Notepad. Copy the entire contents and paste it into the Public Key window. Click Apply and then click Close if you get a Success message at the top.

Login Using Private Key

Now all we have to do is login using our private key and password. At this point, when you try to login, you’ll need to enter login credentials twice: once for the private key and once for the normal user account. Once we enable automatic login, you’ll just have to enter the username and password for the private key and you’ll be in.

Open puTTY and enter in the IP address of your switch in the Host Name box as usual. However, this time, we’ll need to load up the private key into puTTY also. To do this, expand Connection, then expand SSH and then click on Auth.

Click on the Browse button under Private key file for authentication and select the private key file you saved out of puTTY earlier. Now click the Open button to connect.

The first prompt will be login as and that should be the username you added under SSH users. If you used the same username as your main user account, then it won’t matter.

In my case, I used akishore for both user accounts, but I used different passwords for the private key and for my main user account. If you like, you can make the passwords the same too, but there’s no point in really doing that, especially if you enable automatic login.

Now if you don’t want to have to double login to get into the switch, check the Enable box next to Automatic login on the SSH User Authentication page.

When this is enabled, you’ll now just have to type in the credentials for the SSH user and you’ll be logged in.

It’s a bit complicated, but makes sense once you play around with it. Like I mentioned earlier, I’ll also write out the CLI commands once I can get the private key in the proper format. Following the instructions here, accessing your switch via SSH should be a lot more secure now. If you run into problems or have questions, post in the comments. Enjoy!

Related posts

• Ako povoliť prístup SSH pre prepínače Cisco SG300

• Ako zakázať kľúč Windows

• Ako SSH alebo SFTP do vášho Raspberry Pi

• Ako povoliť autentifikáciu Steam Guard

• Získajte kľúč zabezpečenia bezdrôtovej siete v systéme Windows

• Inštalácia doplnkov GIMP: Návod ako na to

• Ako lietať s dronom pre úplných začiatočníkov

• Recenzia knihy – Návod ako na to Geek Windows 8

• Ako robiť snímky obrazovky na Nintendo Switch

• Ako previesť dynamický disk na základný disk

• Ako udržiavať softvér počítača automaticky aktualizovaný

• Vytvorte si počítačovú aplikáciu Gmail s týmito tromi e-mailovými klientmi

• Ako chrániť heslom PDF, aby bol bezpečný

• Ako obnoviť napadnutý účet na Facebooku

• Ako odstrániť priečinok Windows.old v systéme Windows 7/8/10

• Ako si zostaviť svoj vlastný laptop

• Okamžite odstráňte pozadie z obrázkov pomocou AI

• Ako zmeniť váš počítač na mediálny server DLNA

• Ako vytvoriť tím v Microsoft Teams

• Ako udržať počítač so systémom Windows v bdelom stave bez dotyku myši