Раније сам писао о томе како можете да омогућите ССХ приступ вашем Цисцо прекидачу^{(how you can enable SSH access to your Cisco switch)} тако што ћете омогућити подешавање у ГУИ^(GUI) интерфејсу. Ово је одлично ако желите да приступите свом ЦЛИ^(CLI) прекидачу преко шифроване везе, али се и даље ослања само на корисничко име и лозинку.

Ако користите овај прекидач у веома осетљивој мрежи која мора да буде веома безбедна, можда бисте желели да размислите о омогућавању аутентификације јавног кључа за вашу ССХ^(SSH) везу. Заправо, за максималну сигурност, можете омогућити аутентификацију корисничког имена/лозинке и јавног кључа за приступ вашем прекидачу.

У овом чланку ћу вам показати како да омогућите аутентификацију јавног кључа на СГ300 Цисцо^{(SG300 Cisco)} прекидачу и како да генеришете парове јавног и приватног кључа користећи пуТТИГен. Затим ћу вам показати како да се пријавите помоћу нових кључева. Поред тога, показаћу вам како да га конфигуришете тако да можете да користите само кључ за пријављивање или да натерате корисника да унесе корисничко име/лозинку заједно са коришћењем приватног кључа.

Напомена: Пре него што почнете са овим водичем, уверите се да сте већ омогућили ССХ услугу на прекидачу, што сам поменуо у свом претходном чланку на линку изнад. ^{(Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. )}

Омогућите ССХ аутентификацију^{(SSH User Authentication)} корисника јавним кључем^{(Public Key)}

Све у свему, процес за активирање аутентификације јавног кључа за ССХ^(SSH) је једноставан. У мом примеру, показаћу вам како да омогућите функције помоћу ГУИ^(GUI) заснованог на вебу . Покушао сам да користим ЦЛИ^(CLI) интерфејс да омогућим аутентификацију јавног кључа, али није прихватио формат за мој приватни РСА^(RSA) кључ.

Када то успем, ажурираћу овај пост са ЦЛИ^(CLI) командама које ће постићи оно што ћемо за сада урадити преко ГУИ^(GUI) . Прво^(First) кликните на Безбедност^(Security) , затим на ССХ сервер^{( SSH Server)} и на крају на ССХ аутентификацију корисника^{( SSH User Authentication)} .

У десном окну, наставите и потврдите избор у пољу за потврду Омогући поред ССХ аутентификације корисника јавним кључем^{( Enable box next to SSH User Authentication by Public Key)} . Кликните на дугме Примени^(Apply) да бисте сачували промене. Немојте^(Don) још да означавате дугме Омогући^(Enable) поред Аутоматско пријављивање^{(Automatic login)} јер ћу то објаснити ниже.

Сада морамо да додамо ССХ^(SSH) корисничко име. Пре него што уђемо у додавање корисника, прво морамо да генеришемо јавни и приватни кључ. У овом примеру користићемо пуТТИГен, програм који долази са пуТТИ.

Генеришите приватне и јавне кључеве

Да бисте генерисали кључеве, само напред и прво отворите путТТИГен. Видећете празан екран и заиста не би требало да мењате ниједно од подразумеваних подешавања приказаних у наставку.

Кликните на дугме Генерирај^(Generate) , а затим померајте миш око празног подручја све док трака напретка не прође скроз.

Када су кључеви генерисани, потребно је да унесете приступну фразу, која је у основи попут лозинке за откључавање кључа.

Добра је идеја да користите дугу приступну фразу да бисте заштитили кључ од напада грубом силом. Када двапут унесете приступну фразу, требало би да кликнете на дугмад Сачувај јавни кључ^{(Save public key)} и Сачувај приватни кључ . ^{(Save private key)}Уверите се да су ове датотеке сачуване на безбедној локацији, по могућности у неком шифрованом контејнеру који захтева лозинку за отварање. Погледајте мој пост о коришћењу ВераЦрипт-а за креирање шифрованог волумена^{(VeraCrypt to create an encrypted volume)} .

Додај корисника и кључ

Сада се вратимо на екран за  ССХ аутентификацију корисника^{( SSH User Authentication)} на којем смо раније били. Ево где можете да бирате између две различите опције. Прво идите на Администрација^{(Administration)} – Кориснички налози^{( User Accounts)} да видите које налоге тренутно имате за пријављивање.

Као што видите, имам један налог који се зове акисхоре за приступ мом прекидачу. Тренутно^(Currently) могу да користим овај налог за приступ веб-базираном ГУИ^(GUI) - у и ЦЛИ^(CLI) -у . Назад^(Back) на ССХ страници за аутентификацију^{(SSH User Authentication)} корисника, корисник којег треба да додате у ССХ табелу за аутентификацију корисника (преко јавног кључа)^{(SSH User Authentication Table (by Public Key))}  може бити исти као онај који имате под Администрација – Кориснички налози^{(Administration – User Accounts)} или другачији.

Ако изаберете исто корисничко име, онда можете да проверите дугме Омогући^(Enable) под Аутоматско пријављивање^{(Automatic Login)} и када се пријавите на прекидач, једноставно ћете морати да унесете корисничко име и лозинку за приватни кључ и бићете пријављени .

Ако одлучите да изаберете друго корисничко име овде, добићете упит где морате да унесете корисничко име и лозинку приватног ССХ^(SSH) кључа, а затим ћете морати да унесете своје уобичајено корисничко име и лозинку (наведено под Админ – Кориснички налози^{(Admin – User Accounts)} ) . Ако желите додатну сигурност, користите друго корисничко име, у супротном га назовите исто као и ваше тренутно.

Кликните^(Click) на дугме Додај и појавиће се прозор^(Add) Додај ССХ корисника .^{(Add SSH User)}

Уверите се да је Тип кључа^{(Key Type)} подешен на РСА^(RSA) , а затим наставите и отворите своју јавну ССХ^(SSH) кључну датотеку коју сте раније сачували помоћу програма као што је Нотепад^(Notepad) . Копирајте цео садржај и налепите га у прозор јавног кључа . ^{(Public Key)}Кликните на Примени^(Apply) , а затим на Затвори^(Close) ако добијете поруку о успеху^(Success) на врху.

Пријавите се користећи приватни кључ

Сада све што треба да урадимо је да се пријавимо користећи наш приватни кључ и лозинку. У овом тренутку, када покушате да се пријавите, мораћете да унесете акредитиве за пријаву два пута: једном за приватни кључ и једном за нормалан кориснички налог. Када омогућимо аутоматску пријаву, мораћете само да унесете корисничко име и лозинку за приватни кључ и бићете унутра.

Отворите пуТТИ и унесите ИП адресу свог прекидача у поље Хост Наме^{( Host Name)} као и обично. Међутим, овог пута ћемо морати да учитамо и приватни кључ у пуТТИ. Да бисте то урадили, проширите Цоннецтион^(Connection) , затим проширите ССХ^(SSH) и кликните на Аутх^(Auth) .

Кликните на дугме Прегледај^(Browse) под Датотека приватног кључа за аутентификацију^{(Private key file for authentication)} и изаберите датотеку приватног кључа коју сте раније сачували из пуТТИ-ја. Сада кликните на дугме Отвори^(Open) да бисте се повезали.

Прва промпт ће бити пријављивање као^{(login as)} и то би требало да буде корисничко име које сте додали под ССХ^(SSH) корисницима. Ако сте користили исто корисничко име као главни кориснички налог, онда то неће бити важно.

У мом случају, користио сам акисхоре за оба корисничка налога, али сам користио различите лозинке за приватни кључ и за свој главни кориснички налог. Ако желите, можете и лозинке да направите исте, али нема смисла да то заиста радите, посебно ако омогућите аутоматску пријаву.

Сада, ако не желите да морате да се дуплирате да бисте ушли у прекидач, означите поље за потврду Омогући^(Enable) поред Аутоматска пријава^{( Automatic login)} на страници ССХ аутентикација корисника^{(SSH User Authentication)} .

Када је ово омогућено, сада ћете само морати да унесете акредитиве за ССХ^(SSH) корисника и бићете пријављени.

Мало је компликовано, али има смисла када се поиграте с тим. Као што сам раније поменуо, такође ћу написати ЦЛИ^(CLI) команде када будем могао да добијем приватни кључ у одговарајућем формату. Пратећи упутства овде, приступ вашем прекидачу преко ССХ^(SSH) - а сада би требало да буде много безбеднији. Ако наиђете на проблеме или имате питања, објавите их у коментарима. Уживати!

Enable Public Key Authentication for SSH on Cisco SG300 Switches

Рreviously, I wrote about how you can enable SSH access to your Cisco switch by enabling the setting in the GUI interface. This is great if you want to access your switch CLI over an encrypted connection, but it still relies on just a username and password.

If you are using this switch in a highly sensitive network that needs to be very secure, then you might want to consider enabling public key authentication for your SSH connection. Actually, for maximum security, you can enable a username/password and public key authentication for access to your switch.

In this article, I’ll show you how to enable public key authentication on an SG300 Cisco switch and how to generate the public and private key pairs using puTTYGen. I’ll then show you how to login using the new keys. In addition, I’ll show you how to configure it so that you can either use just the key to login or force the user to type in a username/password along with using the private key.

Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. 

Enable SSH User Authentication by Public Key

Overall, the process for getting public key authentication to work for SSH is straightforward. In my example, I’ll show you how to enable the features using the web-based GUI. I tried to use the CLI interface to enable public key authentication, but it would not accept the format for my private RSA key.

Once I get that working, I’ll update this post with the CLI commands that will accomplish what we will do through the GUI for now. First, click on Security, then SSH Server and finally SSH User Authentication.

In the right-hand pane, go ahead and check the Enable box next to SSH User Authentication by Public Key. Click the Apply button to save the changes. Don’t check the Enable button next to Automatic login just yet as I’ll explain that further down.

Now we have to add a SSH user name. Before we get into adding the user, we first have to generate a public and private key. In this example, we’ll be using puTTYGen, which is a program that comes with puTTY.

Generate Private and Public Keys

To generate the keys, go ahead and open puTTYGen first. You’ll see a blank screen and you really shouldn’t have to change any of the settings from the defaults shown below.

Click on the Generate button and then move your mouse around the blank area until the progress bar go all the way across.

Once the keys have been generated, you need to type in a passphrase, which is basically like a password to unlock the key.

It’s a good idea to use a long passphrase to protect the key from brute-force attacks. Once you have typed in the passphrase twice, you should click the Save public key and Save private key buttons. Make sure these files are saved in a secure location, preferably in an encrypted container of some sort that requires a password to open. Check out my post on using VeraCrypt to create an encrypted volume.

Add User & Key

Now back to the SSH User Authentication screen we were on earlier. Here’s where you can choose from two different options. Firstly, go to Administration – User Accounts to see what accounts you currently have for login.

As you can see, I have one account called akishore for accessing my switch. Currently, I can use this account to access the web-based GUI and the CLI. Back on the SSH User Authentication page, the user you need to add to the SSH User Authentication Table (by Public Key) can either be the same as what you have under Administration – User Accounts or different.

If you choose the same user name, then you can check the Enable button under Automatic Login and when you go to log into the switch, you’ll simply have to type the username and password for the private key and you’ll be logged in.

If you decide to choose a different username here, then you will get a prompt where you have to enter the SSH private key user name and password and then you’ll have to enter your normal username and password (listed under Admin – User Accounts). If you want the extra security, use a different username, otherwise just name it the same as your current one.

Click the Add button and you’ll get the Add SSH User window pop up.

Make sure the Key Type is set to RSA and then go ahead and open your public SSH key file that you saved earlier using a program like Notepad. Copy the entire contents and paste it into the Public Key window. Click Apply and then click Close if you get a Success message at the top.

Login Using Private Key

Now all we have to do is login using our private key and password. At this point, when you try to login, you’ll need to enter login credentials twice: once for the private key and once for the normal user account. Once we enable automatic login, you’ll just have to enter the username and password for the private key and you’ll be in.

Open puTTY and enter in the IP address of your switch in the Host Name box as usual. However, this time, we’ll need to load up the private key into puTTY also. To do this, expand Connection, then expand SSH and then click on Auth.

Click on the Browse button under Private key file for authentication and select the private key file you saved out of puTTY earlier. Now click the Open button to connect.

The first prompt will be login as and that should be the username you added under SSH users. If you used the same username as your main user account, then it won’t matter.

In my case, I used akishore for both user accounts, but I used different passwords for the private key and for my main user account. If you like, you can make the passwords the same too, but there’s no point in really doing that, especially if you enable automatic login.

Now if you don’t want to have to double login to get into the switch, check the Enable box next to Automatic login on the SSH User Authentication page.

When this is enabled, you’ll now just have to type in the credentials for the SSH user and you’ll be logged in.

It’s a bit complicated, but makes sense once you play around with it. Like I mentioned earlier, I’ll also write out the CLI commands once I can get the private key in the proper format. Following the instructions here, accessing your switch via SSH should be a lot more secure now. If you run into problems or have questions, post in the comments. Enjoy!

Related posts

• Како омогућити ССХ приступ за Цисцо СГ300 прекидаче

• Како онемогућити Виндовс кључ

• Како ући ССХ или СФТП у ваш Распберри Пи

• Како омогућити Стеам Гуард аутентификацију

• Преузмите свој безбедносни кључ бежичне мреже у оперативном систему Виндовс

• 7 техничких савета за СЕО оптимизацију за било коју веб локацију

• Како отворити ДДС датотеке у оперативном систему Виндовс 10

• Како променити боју позадине на Гоогле документима

• Како користити Фирефок приватну мрежу да се заштитите на мрежи

• Како да користите свој Цхромебоок као други монитор

• Како избрисати фасциклу Виндовс.олд у оперативном систему Виндовс 7/8/10

• Како да вратите фабричка подешавања Ксбок Оне или Ксбок Сериес Кс

• Како извршити тест стреса процесора

• Како тунелирати ВНЦ преко ССХ-а

• Направите Гмаил апликацију за рачунаре са ова 3 клијента е-поште

• Како свој рачунар претворити у ДЛНА медијски сервер

• Коришћење веб интерфејса за пренос

• Како заштитити ПДФ лозинком да би био сигуран

• Како повратити хаковани Фацебоок налог

• Како додати музику у Гоогле слајдове