Anteriormente, escribí sobre cómo puede habilitar el acceso SSH a su conmutador Cisco^{(how you can enable SSH access to your Cisco switch)} al habilitar la configuración en la interfaz GUI . Esto es excelente si desea acceder a la CLI de su conmutador a través de una conexión cifrada, pero aún depende solo de un nombre de usuario y una contraseña.

Si está utilizando este interruptor en una red altamente sensible que necesita ser muy segura, entonces puede considerar habilitar la autenticación de clave pública para su conexión SSH . En realidad, para máxima seguridad, puede habilitar un nombre de usuario/contraseña y autenticación de clave pública para acceder a su conmutador.

En este artículo, le mostraré cómo habilitar la autenticación de clave pública en un conmutador Cisco SG300^{(SG300 Cisco)} y cómo generar los pares de claves pública y privada mediante puTTYGen. Luego le mostraré cómo iniciar sesión con las nuevas claves. Además, le mostraré cómo configurarlo para que pueda usar solo la clave para iniciar sesión u obligar al usuario a escribir un nombre de usuario/contraseña junto con el uso de la clave privada.

Nota: Antes de comenzar con este tutorial, asegúrese de haber habilitado el servicio SSH en el conmutador, que mencioné en mi artículo anterior vinculado anteriormente. ^{(Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. )}

Habilitar la autenticación de usuario SSH^{(SSH User Authentication)} por clave pública^{(Public Key)}

En general, el proceso para que la autenticación de clave pública funcione para SSH es sencillo. En mi ejemplo, le mostraré cómo habilitar las funciones usando la GUI basada en web . Traté de usar la interfaz CLI para habilitar la autenticación de clave pública, pero no aceptaba el formato de mi clave RSA privada .

Una vez que funcione, actualizaré esta publicación con los comandos CLI que lograrán lo que haremos a través de la GUI por ahora. Primero^(First) , haga clic en Seguridad^(Security) , luego en Servidor SSH^{( SSH Server)} y finalmente en Autenticación de usuario SSH^{( SSH User Authentication)} .

En el panel de la derecha, siga adelante y marque la casilla Habilitar junto a Autenticación de usuario SSH por clave pública^{( Enable box next to SSH User Authentication by Public Key)} . Haga clic en el botón Aplicar^(Apply) para guardar los cambios. No^(Don) marque el botón Habilitar^(Enable) junto a Inicio de sesión automático^{(Automatic login)} todavía, ya que lo explicaré más adelante.

Ahora tenemos que agregar un nombre de usuario SSH . Antes de comenzar a agregar el usuario, primero debemos generar una clave pública y privada. En este ejemplo, usaremos puTTYGen, que es un programa que viene con PuTTY.

Generar Claves Privadas y Públicas

Para generar las claves, siga adelante y abra puTTYGen primero. Verá una pantalla en blanco y realmente no debería tener que cambiar ninguna de las configuraciones predeterminadas que se muestran a continuación.

Haga clic en el botón Generar^(Generate) y luego mueva el mouse alrededor del área en blanco hasta que la barra de progreso se extienda por completo.

Una vez que se han generado las claves, debe escribir una frase de contraseña, que es básicamente como una contraseña para desbloquear la clave.

Es una buena idea usar una frase de contraseña larga para proteger la clave de los ataques de fuerza bruta. Una vez que haya ingresado la frase de contraseña dos veces, debe hacer clic en los botones Guardar clave pública^{(Save public key)} y Guardar clave privada^{(Save private key)} . Asegúrese de que estos archivos se guarden en una ubicación segura, preferiblemente en un contenedor encriptado de algún tipo que requiera una contraseña para abrirse. Consulte mi publicación sobre el uso de VeraCrypt para crear un volumen cifrado^{(VeraCrypt to create an encrypted volume)} .

Agregar usuario y clave

Ahora volvamos a la pantalla  de autenticación de usuario SSH^{( SSH User Authentication)} en la que estábamos antes. Aquí es donde puede elegir entre dos opciones diferentes. En primer lugar, vaya a Administración^{(Administration)} - Cuentas de usuario^{( User Accounts)} para ver qué cuentas tiene actualmente para iniciar sesión.

Como puede ver, tengo una cuenta llamada akishore para acceder a mi conmutador. Actualmente^(Currently) , puedo usar esta cuenta para acceder a la GUI basada en web y la CLI . De vuelta^(Back) en la página de autenticación de usuario de SSH^{(SSH User Authentication)} , el usuario que necesita agregar a la tabla de autenticación de usuario de SSH (por clave pública)^{(SSH User Authentication Table (by Public Key))}  puede ser el mismo que tiene en Administración - Cuentas de usuario^{(Administration – User Accounts)} o diferente.

Si elige el mismo nombre de usuario, puede marcar el botón Habilitar en Inicio de ^(Enable)sesión automático^{(Automatic Login)} y cuando vaya a iniciar sesión en el interruptor, simplemente tendrá que escribir el nombre de usuario y la contraseña para la clave privada e iniciará sesión. .

Si decide elegir un nombre de usuario diferente aquí, recibirá un aviso en el que deberá ingresar el nombre de usuario y la contraseña de la clave privada de SSH y luego deberá ingresar su nombre de usuario y contraseña normales (enumerados en Admin - Cuentas de usuario^{(Admin – User Accounts)} ) . Si desea seguridad adicional, use un nombre de usuario diferente; de ​​lo contrario, simplemente asígnele el mismo nombre que el actual.

Haga clic^(Click) en el botón Agregar^(Add) y obtendrá la ventana emergente Agregar usuario SSH .^{(Add SSH User)}

Asegúrese de que el tipo de clave^{(Key Type)} esté configurado en RSA y luego continúe y abra su archivo de clave SSH pública que guardó anteriormente usando un programa como el Bloc^(Notepad) de notas . Copie todo el contenido y péguelo en la ventana Clave pública . ^{(Public Key)}Haga clic en Aplicar^(Apply) y luego haga clic en Cerrar^(Close) si recibe un mensaje de éxito en la parte superior.^(Success)

Iniciar sesión con clave privada

Ahora todo lo que tenemos que hacer es iniciar sesión con nuestra clave privada y contraseña. En este punto, cuando intente iniciar sesión, deberá ingresar las credenciales de inicio de sesión dos veces: una para la clave privada y otra para la cuenta de usuario normal. Una vez que habilitemos el inicio de sesión automático, solo tendrá que ingresar el nombre de usuario y la contraseña para la clave privada y estará dentro.

Abra PuTTY e ingrese la dirección IP de su conmutador en el cuadro Nombre de host^{( Host Name)} como de costumbre. Sin embargo, esta vez, también necesitaremos cargar la clave privada en PuTTY. Para hacer esto, expanda Conexión^(Connection) , luego expanda SSH y luego haga clic en Autenticación^(Auth) .

Haga clic en el botón Examinar en ^(Browse)Archivo de clave privada para la autenticación^{(Private key file for authentication)} y seleccione el archivo de clave privada que guardó anteriormente en PuTTY. Ahora haga clic en el botón Abrir^(Open) para conectarse.

El primer mensaje será iniciar sesión como^{(login as)} y ese debería ser el nombre de usuario que agregó en Usuarios de SSH . Si usó el mismo nombre de usuario que su cuenta de usuario principal, entonces no importará.

En mi caso, usé akishore para ambas cuentas de usuario, pero usé contraseñas diferentes para la clave privada y para mi cuenta de usuario principal. Si lo desea, también puede hacer que las contraseñas sean las mismas, pero no tiene sentido hacerlo realmente, especialmente si habilita el inicio de sesión automático.

Ahora, si no desea tener que iniciar sesión dos veces para acceder al conmutador, marque la casilla Habilitar^(Enable) junto a Inicio de sesión automático^{( Automatic login)} en la página de autenticación de usuario de SSH^{(SSH User Authentication)} .

Cuando esto esté habilitado, ahora solo tendrá que escribir las credenciales para el usuario de SSH e iniciará sesión.

Es un poco complicado, pero tiene sentido una vez que juegas con él. Como mencioné anteriormente, también escribiré los comandos CLI una vez que pueda obtener la clave privada en el formato adecuado. Siguiendo las instrucciones aquí, acceder a su conmutador a través de SSH debería ser mucho más seguro ahora. Si tiene problemas o tiene preguntas, publíquelas en los comentarios. ¡Disfrutar!

Enable Public Key Authentication for SSH on Cisco SG300 Switches

Previously, I wrote about how you can enable SSH access to your Cisco switch by enabling the setting in the GUI interface. This is great if you want to access your switch CLI over an encrypted connection, but it still relies on just a username and password.

If you are using this switch in a highly sensitive network that needs to be very secure, then you might want to consider enabling public key authentication for your SSH connection. Actually, for maximum security, you can enable a username/password and public key authentication for access to your switch.

In this article, I’ll show you how to enable public key authentication on an SG300 Cisco switch and how to generate the public and private key pairs using puTTYGen. I’ll then show you how to login using the new keys. In addition, I’ll show you how to configure it so that you can either use just the key to login or force the user to type in a username/password along with using the private key.

Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. 

Enable SSH User Authentication by Public Key

Overall, the process for getting public key authentication to work for SSH is straightforward. In my example, I’ll show you how to enable the features using the web-based GUI. I tried to use the CLI interface to enable public key authentication, but it would not accept the format for my private RSA key.

Once I get that working, I’ll update this post with the CLI commands that will accomplish what we will do through the GUI for now. First, click on Security, then SSH Server and finally SSH User Authentication.

In the right-hand pane, go ahead and check the Enable box next to SSH User Authentication by Public Key. Click the Apply button to save the changes. Don’t check the Enable button next to Automatic login just yet as I’ll explain that further down.

Now we have to add a SSH user name. Before we get into adding the user, we first have to generate a public and private key. In this example, we’ll be using puTTYGen, which is a program that comes with puTTY.

Generate Private and Public Keys

To generate the keys, go ahead and open puTTYGen first. You’ll see a blank screen and you really shouldn’t have to change any of the settings from the defaults shown below.

Click on the Generate button and then move your mouse around the blank area until the progress bar go all the way across.

Once the keys have been generated, you need to type in a passphrase, which is basically like a password to unlock the key.

It’s a good idea to use a long passphrase to protect the key from brute-force attacks. Once you have typed in the passphrase twice, you should click the Save public key and Save private key buttons. Make sure these files are saved in a secure location, preferably in an encrypted container of some sort that requires a password to open. Check out my post on using VeraCrypt to create an encrypted volume.

Add User & Key

Now back to the SSH User Authentication screen we were on earlier. Here’s where you can choose from two different options. Firstly, go to Administration – User Accounts to see what accounts you currently have for login.

As you can see, I have one account called akishore for accessing my switch. Currently, I can use this account to access the web-based GUI and the CLI. Back on the SSH User Authentication page, the user you need to add to the SSH User Authentication Table (by Public Key) can either be the same as what you have under Administration – User Accounts or different.

If you choose the same user name, then you can check the Enable button under Automatic Login and when you go to log into the switch, you’ll simply have to type the username and password for the private key and you’ll be logged in.

If you decide to choose a different username here, then you will get a prompt where you have to enter the SSH private key user name and password and then you’ll have to enter your normal username and password (listed under Admin – User Accounts). If you want the extra security, use a different username, otherwise just name it the same as your current one.

Click the Add button and you’ll get the Add SSH User window pop up.

Make sure the Key Type is set to RSA and then go ahead and open your public SSH key file that you saved earlier using a program like Notepad. Copy the entire contents and paste it into the Public Key window. Click Apply and then click Close if you get a Success message at the top.

Login Using Private Key

Now all we have to do is login using our private key and password. At this point, when you try to login, you’ll need to enter login credentials twice: once for the private key and once for the normal user account. Once we enable automatic login, you’ll just have to enter the username and password for the private key and you’ll be in.

Open puTTY and enter in the IP address of your switch in the Host Name box as usual. However, this time, we’ll need to load up the private key into puTTY also. To do this, expand Connection, then expand SSH and then click on Auth.

Click on the Browse button under Private key file for authentication and select the private key file you saved out of puTTY earlier. Now click the Open button to connect.

The first prompt will be login as and that should be the username you added under SSH users. If you used the same username as your main user account, then it won’t matter.

In my case, I used akishore for both user accounts, but I used different passwords for the private key and for my main user account. If you like, you can make the passwords the same too, but there’s no point in really doing that, especially if you enable automatic login.

Now if you don’t want to have to double login to get into the switch, check the Enable box next to Automatic login on the SSH User Authentication page.

When this is enabled, you’ll now just have to type in the credentials for the SSH user and you’ll be logged in.

It’s a bit complicated, but makes sense once you play around with it. Like I mentioned earlier, I’ll also write out the CLI commands once I can get the private key in the proper format. Following the instructions here, accessing your switch via SSH should be a lot more secure now. If you run into problems or have questions, post in the comments. Enjoy!

Related posts

• Cómo habilitar el acceso SSH para los switches Cisco SG300

• Cómo deshabilitar la clave de Windows

• Cómo usar SSH o SFTP en su Raspberry Pi

• Cómo habilitar la autenticación de Steam Guard

• Recupere su clave de seguridad de red inalámbrica en Windows

• Cómo digitalizar DVD

• Cómo convertir su computadora en un servidor multimedia DLNA

• Cómo mantener el software de su PC actualizado automáticamente

• Cómo abrir archivos DDS en Windows 10

• Cómo recuperar una cuenta de Facebook pirateada

• Cómo configurar páginas maestras en Adobe InDesign CC

• Cómo usar su Chromebook como segundo monitor

• Cómo construir tu propia computadora portátil

• Instalación de complementos de GIMP: una guía práctica

• Cómo realizar una prueba de estrés de la CPU

• Cree una aplicación de escritorio de Gmail con estos 3 clientes de correo electrónico

• Cómo convertir un disco dinámico en un disco básico

• Cómo agregar música a las diapositivas de Google

• Cómo actualizar Raspberry Pi

• Desactivar el Control de cuentas de usuario (UAC) para una aplicación específica