Zuvor habe ich darüber geschrieben, wie Sie den SSH-Zugriff auf Ihren Cisco-Switch aktivieren können, indem Sie die Einstellung in der GUI-Oberfläche aktivieren. Dies ist großartig, wenn Sie über eine verschlüsselte Verbindung auf Ihre Switch-CLI zugreifen möchten, es sind jedoch nur ein Benutzername und ein Kennwort erforderlich.
Wenn Sie diesen Switch in einem hochsensiblen Netzwerk verwenden, das sehr sicher sein muss, sollten Sie die Aktivierung der Public-Key-Authentifizierung für Ihre SSH-Verbindung in Betracht ziehen. Für maximale Sicherheit können Sie tatsächlich einen Benutzernamen / ein Kennwort und eine Authentifizierung mit einem öffentlichen Schlüssel für den Zugriff auf Ihren Switch aktivieren.
In diesem Artikel zeige ich Ihnen, wie Sie die Authentifizierung mit öffentlichen Schlüsseln auf einem SG300-Cisco-Switch aktivieren und die öffentlichen und privaten Schlüsselpaare mithilfe von puTTYGen generieren. Ich zeige Ihnen dann, wie Sie sich mit den neuen Schlüsseln anmelden. Außerdem zeige ich Ihnen, wie Sie es so konfigurieren, dass Sie sich entweder nur mit dem Schlüssel anmelden können oder den Benutzer dazu zwingen, einen Benutzernamen / ein Kennwort zusammen mit dem privaten Schlüssel einzugeben.
Hinweis : Bevor Sie mit diesem Lernprogramm beginnen, stellen Sie sicher, dass Sie den SSH-Dienst auf dem Switch bereits aktiviert haben, den ich in meinem vorherigen Artikel erwähnt habe.
Aktivieren Sie die SSH-Benutzerauthentifizierung mit dem öffentlichen Schlüssel
Insgesamt ist der Prozess, wie die Authentifizierung mit öffentlichen Schlüsseln für SSH funktioniert, unkompliziert. In meinem Beispiel zeige ich Ihnen, wie Sie die Funktionen über die webbasierte GUI aktivieren. Ich habe versucht, die CLI-Schnittstelle zu verwenden, um die Authentifizierung mit öffentlichen Schlüsseln zu aktivieren, aber das Format für meinen privaten RSA-Schlüssel wurde nicht akzeptiert.
Sobald das funktioniert, werde ich diesen Beitrag mit den CLI-Befehlen aktualisieren, mit denen erreicht wird, was wir jetzt über die GUI tun werden. Klicken Sie zuerst auf Sicherheit, dann auf SSH-Server und schließlich auf SSH-Benutzerauthentifizierung .
Aktivieren Sie im rechten Bereich das Kontrollkästchen Aktivieren neben der SSH-Benutzerauthentifizierung mit dem öffentlichen Schlüssel . Klicken Sie auf die Schaltfläche Übernehmen, um die Änderungen zu speichern. Aktivieren Sie nicht die Schaltfläche Aktivieren neben Automatische Anmeldung, da ich das weiter unten erkläre.
Nun müssen wir einen SSH-Benutzernamen hinzufügen. Bevor wir mit dem Hinzufügen des Benutzers beginnen, müssen wir zuerst einen öffentlichen und einen privaten Schlüssel generieren. In diesem Beispiel verwenden wir puTTYGen, ein Programm, das mit puTTY geliefert wird.
Generieren Sie private und öffentliche Schlüssel
Um die Schlüssel zu generieren, öffnen Sie zuerst puTTYGen. Es erscheint ein leerer Bildschirm, und Sie sollten wirklich keine der Einstellungen von den unten gezeigten Standardeinstellungen ändern müssen.
Klicken Sie auf die Schaltfläche " Generieren" und bewegen Sie dann die Maus im leeren Bereich, bis der Fortschrittsbalken durchläuft.
Nachdem die Schlüssel generiert wurden, müssen Sie eine Passphrase eingeben. Dies ist im Wesentlichen ein Kennwort, um den Schlüssel zu entsperren.
Es empfiehlt sich, eine lange Passphrase zu verwenden, um den Schlüssel vor Brute-Force-Angriffen zu schützen. Wenn Sie die Passphrase zweimal eingegeben haben, klicken Sie auf die Schaltflächen Öffentlicher Schlüssel speichern und Privaten Schlüssel speichern . Stellen Sie sicher, dass diese Dateien an einem sicheren Ort gespeichert werden, vorzugsweise in einem verschlüsselten Container, der zum Öffnen ein Kennwort erfordert. Schauen Sie sich meinen Beitrag zur Verwendung von VeraCrypt an, um ein verschlüsseltes Volume zu erstellen.
Benutzer & Schlüssel hinzufügen
Nun zurück zum Bildschirm für die SSH-Benutzerauthentifizierung . Hier können Sie aus zwei verschiedenen Optionen wählen. Gehen Sie zunächst zu Administration - Benutzerkonten, um zu sehen, welche Konten Sie derzeit für die Anmeldung haben.
Wie Sie sehen, habe ich ein Konto namens akishore für den Zugriff auf meinen Switch. Derzeit kann ich mit diesem Konto auf die webbasierte GUI und die CLI zugreifen. Auf der Seite SSH-Benutzerauthentifizierung kann der Benutzer, den Sie der SSH-Benutzerauthentifizierungstabelle hinzufügen müssen (durch den öffentlichen Schlüssel), entweder derselbe sein wie unter Administration - Benutzerkonten oder anders.
Wenn Sie denselben Benutzernamen auswählen, können Sie die Schaltfläche Aktivieren unter Automatische Anmeldung aktivieren. Wenn Sie sich beim Switch anmelden, müssen Sie lediglich den Benutzernamen und das Kennwort für den privaten Schlüssel eingeben, und Sie werden angemeldet .
Wenn Sie sich für einen anderen Benutzernamen entscheiden, werden Sie aufgefordert, den Benutzernamen und das Kennwort des privaten SSH-Schlüssels einzugeben. Anschließend müssen Sie Ihren normalen Benutzernamen und Ihr Kennwort eingeben (unter Admin - Benutzerkonten aufgeführt). . Wenn Sie die zusätzliche Sicherheit wünschen, verwenden Sie einen anderen Benutzernamen. Andernfalls benennen Sie ihn genauso wie Ihren aktuellen.
Klicken Sie auf die Schaltfläche " Hinzufügen". Das Fenster " SSH-Benutzer hinzufügen" wird angezeigt .
Stellen Sie sicher, dass der Schlüsseltyp auf RSA eingestellt ist. Öffnen Sie dann Ihre öffentliche SSH-Schlüsseldatei, die Sie zuvor mit einem Programm wie dem Editor gespeichert haben. Kopieren Sie den gesamten Inhalt und fügen Sie ihn in das Fenster des öffentlichen Schlüssels ein. Klicken Sie auf Übernehmen und dann auf Schließen, wenn Sie oben eine Erfolgsmeldung erhalten .
Einloggen mit privatem Schlüssel
Jetzt müssen wir uns nur noch mit unserem privaten Schlüssel und Passwort anmelden. Wenn Sie sich jetzt anmelden, müssen Sie die Anmeldeinformationen zweimal eingeben: einmal für den privaten Schlüssel und einmal für das normale Benutzerkonto. Wenn wir die automatische Anmeldung aktiviert haben, müssen Sie nur noch den Benutzernamen und das Kennwort für den privaten Schlüssel eingeben.
Öffnen Sie puTTY und geben Sie wie üblich die IP-Adresse Ihres Switches in das Feld Host Name ein . Diesmal müssen wir jedoch den privaten Schlüssel auch in puTTY laden. Erweitern Sie dazu Verbindung, dann SSH und klicken Sie auf Auth .
Klicken Sie unter Private Key-Datei zur Authentifizierung auf die Schaltfläche Durchsuchen, und wählen Sie die private Key-Datei aus, die Sie zuvor in puTTY gespeichert haben. Klicken Sie jetzt auf die Schaltfläche Öffnen, um eine Verbindung herzustellen.
Die erste Aufforderung lautet login als und sollte der Benutzername sein, den Sie unter SSH-Benutzern hinzugefügt haben. Wenn Sie denselben Benutzernamen wie Ihr Hauptbenutzerkonto verwendet haben, ist dies unwichtig.
In meinem Fall habe ich Akishore für beide Benutzerkonten verwendet, jedoch unterschiedliche Kennwörter für den privaten Schlüssel und für mein Hauptbenutzerkonto. Wenn Sie möchten, können Sie die Passwörter auch gleich festlegen, aber es ist sinnlos, dies zu tun, insbesondere wenn Sie die automatische Anmeldung aktivieren.
Wenn Sie jetzt nicht doppelt anmelden müssen, um in den Switch einzusteigen, aktivieren Sie das Kontrollkästchen Aktivieren neben Automatische Anmeldung auf der Seite SSH-Benutzerauthentifizierung .
Wenn diese Option aktiviert ist, müssen Sie nur noch die Anmeldeinformationen für den SSH-Benutzer eingeben und Sie sind angemeldet.
Es ist ein bisschen kompliziert, macht aber Sinn, wenn man damit herumspielt. Wie bereits erwähnt, schreibe ich auch die CLI-Befehle, sobald ich den privaten Schlüssel im richtigen Format erhalten kann. Wenn Sie den Anweisungen hier folgen, sollte der Zugriff auf Ihren Switch über SSH jetzt wesentlich sicherer sein. Wenn Sie auf Probleme stoßen oder Fragen haben, schreiben Sie in den Kommentaren. Genießen!