Habilite a autenticação de chave pública para SSH em switches Cisco SG300

Anteriormente, escrevi sobre como você pode habilitar o acesso SSH ao seu switch Cisco(how you can enable SSH access to your Cisco switch) habilitando a configuração na interface GUI . Isso é ótimo se você deseja acessar a CLI do switch por meio de uma conexão criptografada, mas ainda depende apenas de um nome de usuário e senha.

Se você estiver usando esse switch em uma rede altamente confidencial que precisa ser muito segura, convém considerar habilitar a autenticação de chave pública para sua conexão SSH . Na verdade, para segurança máxima, você pode habilitar um nome de usuário/senha e autenticação de chave pública para acesso ao seu switch.

Neste artigo, mostrarei como habilitar a autenticação de chave pública em um switch Cisco SG300(SG300 Cisco) e como gerar os pares de chaves pública e privada usando puTTYGen. Em seguida, mostrarei como fazer login usando as novas chaves. Além disso, mostrarei como configurá-lo para que você possa usar apenas a chave para fazer login ou forçar o usuário a digitar um nome de usuário/senha junto com a chave privada.

Observação: antes de começar neste tutorial, verifique se você já ativou o serviço SSH no switch, que mencionei no meu artigo anterior vinculado acima. (Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. )

Habilitar autenticação de usuário SSH(SSH User Authentication) por chave pública(Public Key)

No geral, o processo para fazer com que a autenticação de chave pública funcione para SSH é simples. No meu exemplo, mostrarei como habilitar os recursos usando a GUI baseada na web . Tentei usar a interface CLI para habilitar a autenticação de chave pública, mas ela não aceitava o formato da minha chave RSA privada .

Assim que isso funcionar, atualizarei este post com os comandos da CLI que realizarão o que faremos por meio da GUI por enquanto. Primeiro(First) , clique em Segurança(Security) , depois em Servidor SSH( SSH Server) e finalmente em Autenticação de Usuário SSH( SSH User Authentication) .

No painel direito, vá em frente e marque a caixa Enable ao lado de SSH User Authentication by Public Key( Enable box next to SSH User Authentication by Public Key) . Clique no botão Aplicar(Apply) para salvar as alterações. Não(Don) marque o botão Ativar ao lado de (Enable)Login automático(Automatic login) ainda, pois explicarei isso mais adiante.

Agora temos que adicionar um nome de usuário SSH . Antes de adicionar o usuário, primeiro temos que gerar uma chave pública e privada. Neste exemplo, usaremos o puTTYGen, que é um programa que vem com o puTTY.

Gerar Chaves Privadas e Públicas

Para gerar as chaves, vá em frente e abra puTTYGen primeiro. Você verá uma tela em branco e não precisará alterar nenhuma das configurações dos padrões mostrados abaixo.

Clique no botão Gerar(Generate) e, em seguida, mova o mouse ao redor da área em branco até que a barra de progresso percorra todo o caminho.

Uma vez que as chaves foram geradas, você precisa digitar uma senha, que é basicamente como uma senha para desbloquear a chave.

É uma boa ideia usar uma senha longa para proteger a chave de ataques de força bruta. Depois de digitar a senha duas vezes, você deve clicar nos botões Salvar chave pública(Save public key) e Salvar chave privada . (Save private key)Certifique-se de que esses arquivos sejam salvos em um local seguro, de preferência em um contêiner criptografado de algum tipo que exija uma senha para abrir. Confira meu post sobre como usar o VeraCrypt para criar um volume criptografado(VeraCrypt to create an encrypted volume) .

Adicionar usuário e chave

Agora, de volta à tela  de autenticação de usuário SSH( SSH User Authentication) em que estávamos anteriormente. Aqui é onde você pode escolher entre duas opções diferentes. Em primeiro lugar, vá para Administração(Administration)Contas de usuário( User Accounts) para ver quais contas você tem atualmente para fazer login.

Como você pode ver, eu tenho uma conta chamada akishore para acessar meu switch. Atualmente(Currently) , posso usar essa conta para acessar a GUI baseada na web e a CLI . De volta(Back) à página de autenticação de usuário SSH(SSH User Authentication) , o usuário que você precisa adicionar à tabela de autenticação de usuário SSH (por chave pública)(SSH User Authentication Table (by Public Key))  pode ser o mesmo que você tem em Administração – Contas de usuário(Administration – User Accounts) ou diferente.

Se você escolher o mesmo nome de usuário, poderá marcar o botão Ativar em (Enable)Login automático(Automatic Login) e, quando for fazer login no switch, basta digitar o nome de usuário e a senha da chave privada e estará logado .

Se você decidir escolher um nome de usuário diferente aqui, receberá um prompt no qual deverá inserir o nome de usuário e a senha da chave privada SSH e, em seguida, deverá inserir seu nome de usuário e senha normais (listados em Admin – User Accounts ) . Se você quiser a segurança extra, use um nome de usuário diferente, caso contrário, apenas nomeie-o igual ao seu atual.

Clique(Click) no botão Adicionar(Add) e você verá a janela Adicionar usuário SSH .(Add SSH User)

Certifique-se de que o tipo de chave(Key Type) esteja definido como RSA e, em seguida, vá em frente e abra o arquivo de chave SSH pública que você salvou anteriormente usando um programa como o Bloco(Notepad) de Notas . Copie todo o conteúdo e cole-o na janela Chave Pública . (Public Key)Clique em Aplicar(Apply) e, em seguida, clique em Fechar(Close) se você receber uma mensagem de sucesso na parte superior.(Success)

Login usando chave privada

Agora tudo o que temos a fazer é entrar usando nossa chave privada e senha. Neste ponto, ao tentar fazer login, você precisará inserir as credenciais de login duas vezes: uma para a chave privada e outra para a conta de usuário normal. Assim que habilitarmos o login automático, você só precisará inserir o nome de usuário e a senha da chave privada e entrará.

Abra o puTTY e digite o endereço IP do seu switch na caixa Host Name como de costume. No entanto, desta vez, precisaremos carregar a chave privada no puTTY também. Para fazer isso, expanda Connection , depois expanda SSH e clique em Auth .

Clique no botão Procurar em (Browse)Arquivo de chave privada para autenticação(Private key file for authentication) e selecione o arquivo de chave privada que você salvou do puTTY anteriormente. Agora clique no botão Abrir(Open) para se conectar.

O primeiro prompt será login as e esse deve ser o nome de usuário que você adicionou em usuários SSH . Se você usou o mesmo nome de usuário da sua conta de usuário principal, isso não importa.

No meu caso, usei akishore para ambas as contas de usuário, mas usei senhas diferentes para a chave privada e para minha conta de usuário principal. Se quiser, você pode fazer as mesmas senhas também, mas não faz sentido fazer isso, especialmente se você habilitar o login automático.

Agora, se você não quiser fazer login duplo para entrar no switch, marque a caixa Habilitar(Enable) ao lado de Login automático( Automatic login) na página Autenticação de usuário SSH(SSH User Authentication) .

Quando isso estiver ativado, você só precisará digitar as credenciais do usuário SSH e estará logado.

É um pouco complicado, mas faz sentido quando você brinca com isso. Como mencionei anteriormente, também escreverei os comandos da CLI assim que conseguir obter a chave privada no formato adequado. Seguindo as instruções aqui, acessar seu switch via SSH deve ser muito mais seguro agora. Se você tiver problemas ou tiver dúvidas, poste nos comentários. Aproveitar!



About the author

Eu sou um programador de computador, e tenho sido há mais de 15 anos. Minhas habilidades estão no desenvolvimento e manutenção de aplicativos de software, além de fornecer suporte técnico para esses aplicativos. Também ensinei programação de computadores para alunos do ensino médio e atualmente sou instrutor profissional.



Related posts