Abilita l'autenticazione con chiave pubblica per SSH sugli switch Cisco SG300

In precedenza, ho scritto su come abilitare l'accesso SSH al tuo switch Cisco(how you can enable SSH access to your Cisco switch) abilitando l'impostazione nell'interfaccia GUI . Questo è ottimo se desideri accedere alla CLI dello(CLI) switch tramite una connessione crittografata, ma si basa comunque solo su un nome utente e una password.

Se stai utilizzando questo switch in una rete altamente sensibile che deve essere molto sicura, potresti prendere in considerazione l'abilitazione dell'autenticazione con chiave pubblica per la tua connessione SSH . In realtà, per la massima sicurezza, puoi abilitare un nome utente/password e l'autenticazione con chiave pubblica per l'accesso al tuo switch.

In questo articolo, ti mostrerò come abilitare l'autenticazione con chiave pubblica su uno switch Cisco SG300(SG300 Cisco) e come generare le coppie di chiavi pubbliche e private usando puTTYGen. Ti mostrerò quindi come accedere utilizzando le nuove chiavi. Inoltre, ti mostrerò come configurarlo in modo da poter utilizzare solo la chiave per accedere o forzare l'utente a digitare un nome utente/password insieme all'utilizzo della chiave privata.

Nota: prima di iniziare questo tutorial, assicurati di aver già abilitato il servizio SSH sullo switch, che ho menzionato nel mio precedente articolo collegato sopra. (Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. )

Abilita l' autenticazione utente SSH(SSH User Authentication) tramite chiave pubblica(Public Key)

Nel complesso, il processo per far funzionare l'autenticazione con chiave pubblica per SSH è semplice. Nel mio esempio, ti mostrerò come abilitare le funzionalità utilizzando la GUI basata sul Web . Ho provato a utilizzare l' interfaccia CLI per abilitare l'autenticazione con chiave pubblica, ma non avrebbe accettato il formato per la mia chiave RSA privata .

Una volta che avrò funzionato, aggiornerò questo post con i comandi CLI che realizzeranno ciò che faremo tramite la GUI per ora. Per prima cosa(First) , fare clic su Sicurezza(Security) , quindi su Server SSH( SSH Server) e infine su Autenticazione utente SSH( SSH User Authentication) .

Nel riquadro di destra, vai avanti e seleziona la casella Abilita accanto a Autenticazione utente SSH tramite chiave pubblica( Enable box next to SSH User Authentication by Public Key) . Fare clic sul pulsante Applica(Apply) per salvare le modifiche. Non(Don) controllare ancora il pulsante Abilita(Enable) accanto a Accesso automatico(Automatic login) poiché lo spiegherò più in basso.

Ora dobbiamo aggiungere un nome utente SSH . Prima di aggiungere l'utente, dobbiamo prima generare una chiave pubblica e una privata. In questo esempio useremo puTTYGen, che è un programma fornito con puTTY.

Genera chiavi private e pubbliche

Per generare le chiavi, vai avanti e apri prima puTTYGen. Vedrai una schermata vuota e non dovresti davvero cambiare nessuna delle impostazioni dalle impostazioni predefinite mostrate di seguito.

Fare clic sul pulsante Genera(Generate) e quindi spostare il mouse nell'area vuota fino a quando la barra di avanzamento non si sposta completamente.

Una volta che le chiavi sono state generate, è necessario digitare una passphrase, che è fondamentalmente come una password per sbloccare la chiave.

È una buona idea utilizzare una passphrase lunga per proteggere la chiave dagli attacchi di forza bruta. Dopo aver digitato due volte la passphrase, fare clic sui pulsanti Salva chiave pubblica(Save public key) e Salva chiave privata . (Save private key)Assicurati che questi file siano salvati in una posizione sicura, preferibilmente in un contenitore crittografato di qualche tipo che richieda una password per l'apertura. Dai un'occhiata al mio post sull'utilizzo di VeraCrypt per creare un volume crittografato(VeraCrypt to create an encrypted volume) .

Aggiungi utente e chiave

Ora torniamo alla schermata  Autenticazione utente SSH( SSH User Authentication) in cui eravamo prima. Ecco dove puoi scegliere tra due diverse opzioni. Innanzitutto, vai su Amministrazione(Administration) - Account utente( User Accounts) per vedere quali account hai attualmente per l'accesso.

Come puoi vedere, ho un account chiamato akishore per accedere al mio switch. Attualmente(Currently) , posso utilizzare questo account per accedere alla GUI basata sul Web e alla CLI . Tornando(Back) alla pagina Autenticazione utente SSH(SSH User Authentication) , l'utente che devi aggiungere alla tabella di autenticazione utente SSH (per chiave pubblica)(SSH User Authentication Table (by Public Key))  può essere uguale a quello che hai in Amministrazione - Account utente(Administration – User Accounts) o diverso.

Se scegli lo stesso nome utente, puoi controllare il pulsante Abilita(Enable) sotto Accesso automatico(Automatic Login) e quando accedi allo switch, dovrai semplicemente digitare il nome utente e la password per la chiave privata e verrai registrato .

Se decidi di scegliere un nome utente diverso qui, riceverai un messaggio in cui devi inserire il nome utente e la password della chiave privata SSH e quindi dovrai inserire il tuo nome utente e password normali (elencati in Admin - Account utente(Admin – User Accounts) ) . Se vuoi maggiore sicurezza, usa un nome utente diverso, altrimenti chiamalo come quello attuale.

Fai clic(Click) sul pulsante Aggiungi(Add) e verrà visualizzata la finestra Aggiungi utente SSH .(Add SSH User)

Assicurati che il tipo di chiave(Key Type) sia impostato su RSA , quindi vai avanti e apri il file della chiave SSH pubblica che hai salvato in precedenza utilizzando un programma come Blocco note(Notepad) . Copia l'intero contenuto e incollalo nella finestra della chiave pubblica . (Public Key)Fare clic su Applica(Apply) e quindi su Chiudi(Close) se viene visualizzato un messaggio di successo(Success) nella parte superiore.

Accedi utilizzando la chiave privata

Ora tutto ciò che dobbiamo fare è accedere utilizzando la nostra chiave privata e password. A questo punto, quando proverai ad accedere, dovrai inserire le credenziali di accesso due volte: una per la chiave privata e una per il normale account utente. Una volta abilitato l'accesso automatico, dovrai solo inserire il nome utente e la password per la chiave privata e sarai entrato.

Apri puTTY e inserisci l'indirizzo IP del tuo switch nella casella Nome host( Host Name) come al solito. Tuttavia, questa volta, dovremo caricare anche la chiave privata in puTTY. Per fare ciò, espandi Connection , quindi espandi SSH e quindi fai clic su Auth .

Fare clic sul pulsante Sfoglia(Browse) sotto File chiave privata per l'autenticazione(Private key file for authentication) e selezionare il file della chiave privata salvato da puTTY in precedenza. Ora fai clic sul pulsante Apri(Open) per connetterti.

Il primo prompt sarà il login come(login as) e quello dovrebbe essere il nome utente che hai aggiunto sotto gli utenti SSH . Se hai utilizzato lo stesso nome utente del tuo account utente principale, non importa.

Nel mio caso, ho utilizzato akishore per entrambi gli account utente, ma ho utilizzato password diverse per la chiave privata e per il mio account utente principale. Se lo desideri, puoi rendere uguali anche le password, ma non ha senso farlo davvero, soprattutto se abiliti l'accesso automatico.

Ora, se non vuoi dover effettuare un doppio accesso per accedere allo switch, seleziona la casella Abilita(Enable) accanto ad Accesso automatico( Automatic login) nella pagina Autenticazione utente SSH .(SSH User Authentication)

Quando questo è abilitato, ora dovrai solo digitare le credenziali per l' utente SSH e verrai registrato.

È un po' complicato, ma ha senso una volta che ci giochi. Come accennato in precedenza, scriverò anche i comandi CLI una volta che riesco a ottenere la chiave privata nel formato corretto. Seguendo le istruzioni qui, l'accesso al tuo switch tramite SSH dovrebbe essere molto più sicuro ora. Se riscontri problemi o hai domande, pubblica nei commenti. Divertiti!



About the author

ingegnere audiofilo e specialista di prodotti audio con oltre 10 anni di esperienza. Sono specializzato nella creazione di altoparlanti e cuffie per musica di qualità dall'inizio alla fine. Sono un esperto nella risoluzione dei problemi audio e nella progettazione di nuovi altoparlanti e sistemi di cuffie. La mia esperienza va oltre la semplice realizzazione di buoni prodotti; Ho anche una passione per aiutare gli altri a essere il meglio di sé possibile, sia attraverso l'istruzione che il servizio alla comunità.



Related posts