Auparavant, j'ai écrit sur la façon dont vous pouvez activer l'accès SSH à votre commutateur Cisco^{(how you can enable SSH access to your Cisco switch)} en activant le paramètre dans l' interface^(GUI) graphique. C'est très bien si vous souhaitez accéder à votre CLI de commutateur via une connexion cryptée, mais cela ne repose toujours que sur un nom d'utilisateur et un mot de passe.

Si vous utilisez ce commutateur dans un réseau hautement sensible qui doit être très sécurisé, vous pouvez envisager d'activer l'authentification par clé publique pour votre connexion SSH . En fait, pour une sécurité maximale, vous pouvez activer un nom d'utilisateur/mot de passe et une authentification par clé publique pour accéder à votre switch.

Dans cet article, je vais vous montrer comment activer l'authentification par clé publique sur un commutateur Cisco SG300^{(SG300 Cisco)} et comment générer les paires de clés publique et privée à l'aide de puTTYGen. Je vais ensuite vous montrer comment vous connecter en utilisant les nouvelles clés. De plus, je vais vous montrer comment le configurer afin que vous puissiez utiliser uniquement la clé pour vous connecter ou forcer l'utilisateur à saisir un nom d'utilisateur/mot de passe avec la clé privée.

Remarque : Avant de commencer ce didacticiel, assurez-vous d'avoir déjà activé le service SSH sur le commutateur, ce que j'ai mentionné dans mon article précédent lié ci-dessus. ^{(Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. )}

Activer l'authentification utilisateur SSH^{(SSH User Authentication)} par clé publique^{(Public Key)}

Dans l'ensemble, le processus permettant de faire fonctionner l'authentification par clé publique pour SSH est simple. Dans mon exemple, je vais vous montrer comment activer les fonctionnalités à l'aide de l' interface graphique^(GUI) Web . J'ai essayé d'utiliser l' interface CLI pour activer l'authentification par clé publique, mais elle n'a pas accepté le format de ma clé RSA privée .

Une fois que cela fonctionnera, je mettrai à jour ce message avec les commandes CLI qui accompliront ce que nous ferons via l' interface graphique^(GUI) pour l'instant. Cliquez d' abord sur ^(First)Sécurité^(Security) , puis sur Serveur SSH^{( SSH Server)} et enfin sur Authentification utilisateur SSH^{( SSH User Authentication)} .

Dans le volet de droite, continuez et cochez la case Activer en regard de Authentification utilisateur SSH par clé publique^{( Enable box next to SSH User Authentication by Public Key)} . Cliquez sur le bouton Appliquer pour enregistrer les modifications. ^(Apply)Ne^(Don) cochez pas encore le bouton Activer à côté de ^(Enable)Connexion automatique^{(Automatic login)} , car je l'expliquerai plus loin.

Nous devons maintenant ajouter un nom d'utilisateur SSH . Avant de commencer à ajouter l'utilisateur, nous devons d'abord générer une clé publique et privée. Dans cet exemple, nous utiliserons puTTYGen, qui est un programme fourni avec puTTY.

Générer des clés privées et publiques

Pour générer les clés, allez-y et ouvrez d'abord puTTYGen. Vous verrez un écran vide et vous ne devriez vraiment pas avoir à modifier les paramètres par défaut indiqués ci-dessous.

Cliquez sur le bouton Générer^(Generate) , puis déplacez votre souris autour de la zone vide jusqu'à ce que la barre de progression aille jusqu'au bout.

Une fois les clés générées, vous devez saisir une phrase de passe, qui ressemble essentiellement à un mot de passe pour déverrouiller la clé.

C'est une bonne idée d'utiliser une longue phrase de passe pour protéger la clé des attaques par force brute. Une fois que vous avez saisi la phrase secrète deux fois, vous devez cliquer sur les boutons Enregistrer la clé publique^{(Save public key)} et Enregistrer la clé privée . ^{(Save private key)}Assurez-vous que ces fichiers sont enregistrés dans un emplacement sécurisé, de préférence dans un conteneur crypté quelconque qui nécessite un mot de passe pour s'ouvrir. Consultez mon article sur l'utilisation de VeraCrypt pour créer un volume chiffré^{(VeraCrypt to create an encrypted volume)} .

Ajouter un utilisateur et une clé

Revenons maintenant à l' écran  d'authentification de l'utilisateur SSH^{( SSH User Authentication)} sur lequel nous étions plus tôt. Voici où vous pouvez choisir parmi deux options différentes. Tout d'abord, allez dans Administration - Comptes d'utilisateurs^{( User Accounts)} pour voir quels comptes vous avez actuellement pour vous connecter.

Comme vous pouvez le voir, j'ai un compte appelé akishore pour accéder à mon commutateur. Actuellement^(Currently) , je peux utiliser ce compte pour accéder à l' interface graphique^(GUI) Web et à la CLI . De retour^(Back) sur la page Authentification des utilisateurs SSH^{(SSH User Authentication)} , l'utilisateur que vous devez ajouter au tableau d'authentification des utilisateurs SSH (par clé publique)^{(SSH User Authentication Table (by Public Key))}  peut être le même que celui que vous avez sous Administration - Comptes d'utilisateurs^{(Administration – User Accounts)} ou différent.

Si vous choisissez le même nom d'utilisateur, vous pouvez cocher le bouton Activer sous ^(Enable)Connexion automatique^{(Automatic Login)} et lorsque vous allez vous connecter au commutateur, vous n'aurez qu'à taper le nom d'utilisateur et le mot de passe pour la clé privée et vous serez connecté. .

Si vous décidez de choisir un nom d'utilisateur différent ici, vous recevrez une invite où vous devrez entrer le nom d'utilisateur et le mot de passe de la clé privée SSH , puis vous devrez entrer votre nom d'utilisateur et votre mot de passe normaux (répertoriés sous Admin - Comptes d'utilisateurs^{(Admin – User Accounts)} ) . Si vous voulez une sécurité supplémentaire, utilisez un nom d'utilisateur différent, sinon nommez-le simplement de la même manière que votre nom actuel.

Cliquez sur^(Click) le bouton Ajouter^(Add) et vous obtiendrez la fenêtre contextuelle Ajouter un utilisateur SSH .^{(Add SSH User)}

Assurez-vous que le type de clé^{(Key Type)} est défini sur RSA , puis ouvrez votre fichier de clé SSH publique que vous avez enregistré précédemment à l'aide d'un programme tel que Notepad . Copiez tout le contenu et collez-le dans la fenêtre Clé publique . ^{(Public Key)}Cliquez sur Appliquer^(Apply) , puis sur Fermer^(Close) si vous obtenez un message de réussite en haut.^(Success)

Connexion à l'aide de la clé privée

Maintenant, tout ce que nous avons à faire est de nous connecter en utilisant notre clé privée et notre mot de passe. À ce stade, lorsque vous essayez de vous connecter, vous devrez saisir deux fois les identifiants de connexion : une fois pour la clé privée et une fois pour le compte d'utilisateur normal. Une fois que nous aurons activé la connexion automatique, il vous suffira d'entrer le nom d'utilisateur et le mot de passe pour la clé privée et vous serez connecté.

Ouvrez puTTY et entrez l'adresse IP de votre commutateur dans la case Nom d'hôte^{( Host Name)} comme d'habitude. Cependant, cette fois, nous devrons également charger la clé privée dans puTTY. Pour cela, développez Connexion^(Connection) , puis développez SSH puis cliquez sur Auth .

Cliquez sur le bouton Parcourir sous ^(Browse)Fichier de clé privée pour l'authentification^{(Private key file for authentication)} et sélectionnez le fichier de clé privée que vous avez enregistré précédemment dans puTTY. Cliquez maintenant sur le bouton Ouvrir^(Open) pour vous connecter.

La première invite sera de se connecter en tant que^{(login as)} et cela devrait être le nom d'utilisateur que vous avez ajouté sous les utilisateurs SSH . Si vous avez utilisé le même nom d'utilisateur que votre compte d'utilisateur principal, cela n'aura pas d'importance.

Dans mon cas, j'ai utilisé akishore pour les deux comptes d'utilisateurs, mais j'ai utilisé des mots de passe différents pour la clé privée et pour mon compte d'utilisateur principal. Si vous le souhaitez, vous pouvez également rendre les mots de passe identiques, mais cela ne sert à rien de le faire, surtout si vous activez la connexion automatique.

Maintenant, si vous ne voulez pas avoir à vous connecter deux fois pour accéder au commutateur, cochez la case Activer^(Enable) à côté de Connexion automatique^{( Automatic login)} sur la page Authentification utilisateur SSH .^{(SSH User Authentication)}

Lorsque cela est activé, vous n'aurez plus qu'à saisir les informations d'identification de l' utilisateur SSH et vous serez connecté.

C'est un peu compliqué, mais cela a du sens une fois que vous jouez avec. Comme je l'ai mentionné plus tôt, j'écrirai également les commandes CLI une fois que je pourrai obtenir la clé privée au format approprié. En suivant les instructions ici, l'accès à votre commutateur via SSH devrait être beaucoup plus sécurisé maintenant. Si vous rencontrez des problèmes ou avez des questions, postez dans les commentaires. Profitez!

Enable Public Key Authentication for SSH on Cisco SG300 Switches

Previously, I wrote about how you can enable SSH access to your Cisco switch by enabling the setting in the GUI interface. This is great if you want to access your switch CLI over an encrypted connection, but it still relies on just a username and password.

If you are using this switch in a highly sensitive network that needs to be very secure, then you might want to consider enabling public key authentication for your SSH connection. Actually, for maximum security, you can enable a username/password and public key authentication for access to your switch.

In this article, I’ll show you how to enable public key authentication on an SG300 Cisco switch and how to generate the public and private key pairs using puTTYGen. I’ll then show you how to login using the new keys. In addition, I’ll show you how to configure it so that you can either use just the key to login or force the user to type in a username/password along with using the private key.

Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. 

Enable SSH User Authentication by Public Key

Overall, the process for getting public key authentication to work for SSH is straightforward. In my example, I’ll show you how to enable the features using the web-based GUI. I tried to use the CLI interface to enable public key authentication, but it would not accept the format for my private RSA key.

Once I get that working, I’ll update this post with the CLI commands that will accomplish what we will do through the GUI for now. First, click on Security, then SSH Server and finally SSH User Authentication.

In the right-hand pane, go ahead and check the Enable box next to SSH User Authentication by Public Key. Click the Apply button to save the changes. Don’t check the Enable button next to Automatic login just yet as I’ll explain that further down.

Now we have to add a SSH user name. Before we get into adding the user, we first have to generate a public and private key. In this example, we’ll be using puTTYGen, which is a program that comes with puTTY.

Generate Private and Public Keys

To generate the keys, go ahead and open puTTYGen first. You’ll see a blank screen and you really shouldn’t have to change any of the settings from the defaults shown below.

Click on the Generate button and then move your mouse around the blank area until the progress bar go all the way across.

Once the keys have been generated, you need to type in a passphrase, which is basically like a password to unlock the key.

It’s a good idea to use a long passphrase to protect the key from brute-force attacks. Once you have typed in the passphrase twice, you should click the Save public key and Save private key buttons. Make sure these files are saved in a secure location, preferably in an encrypted container of some sort that requires a password to open. Check out my post on using VeraCrypt to create an encrypted volume.

Add User & Key

Now back to the SSH User Authentication screen we were on earlier. Here’s where you can choose from two different options. Firstly, go to Administration – User Accounts to see what accounts you currently have for login.

As you can see, I have one account called akishore for accessing my switch. Currently, I can use this account to access the web-based GUI and the CLI. Back on the SSH User Authentication page, the user you need to add to the SSH User Authentication Table (by Public Key) can either be the same as what you have under Administration – User Accounts or different.

If you choose the same user name, then you can check the Enable button under Automatic Login and when you go to log into the switch, you’ll simply have to type the username and password for the private key and you’ll be logged in.

If you decide to choose a different username here, then you will get a prompt where you have to enter the SSH private key user name and password and then you’ll have to enter your normal username and password (listed under Admin – User Accounts). If you want the extra security, use a different username, otherwise just name it the same as your current one.

Click the Add button and you’ll get the Add SSH User window pop up.

Make sure the Key Type is set to RSA and then go ahead and open your public SSH key file that you saved earlier using a program like Notepad. Copy the entire contents and paste it into the Public Key window. Click Apply and then click Close if you get a Success message at the top.

Login Using Private Key

Now all we have to do is login using our private key and password. At this point, when you try to login, you’ll need to enter login credentials twice: once for the private key and once for the normal user account. Once we enable automatic login, you’ll just have to enter the username and password for the private key and you’ll be in.

Open puTTY and enter in the IP address of your switch in the Host Name box as usual. However, this time, we’ll need to load up the private key into puTTY also. To do this, expand Connection, then expand SSH and then click on Auth.

Click on the Browse button under Private key file for authentication and select the private key file you saved out of puTTY earlier. Now click the Open button to connect.

The first prompt will be login as and that should be the username you added under SSH users. If you used the same username as your main user account, then it won’t matter.

In my case, I used akishore for both user accounts, but I used different passwords for the private key and for my main user account. If you like, you can make the passwords the same too, but there’s no point in really doing that, especially if you enable automatic login.

Now if you don’t want to have to double login to get into the switch, check the Enable box next to Automatic login on the SSH User Authentication page.

When this is enabled, you’ll now just have to type in the credentials for the SSH user and you’ll be logged in.

It’s a bit complicated, but makes sense once you play around with it. Like I mentioned earlier, I’ll also write out the CLI commands once I can get the private key in the proper format. Following the instructions here, accessing your switch via SSH should be a lot more secure now. If you run into problems or have questions, post in the comments. Enjoy!

Related posts

• Comment activer l'accès SSH pour les commutateurs Cisco SG300

• Comment désactiver la clé Windows

• Comment connecter SSH ou SFTP à votre Raspberry Pi

• Comment activer l'authentification Steam Guard

• Récupérer votre clé de sécurité de réseau sans fil dans Windows

• Comment changer la couleur d'arrière-plan sur Google Docs

• Comment réparer l'erreur "L'authentification Google Play est requise" sur Android

• Créez une application de bureau Gmail avec ces 3 clients de messagerie

• Utilisation de l'interface Web de transmission

• Comment configurer des pages maîtres dans Adobe InDesign CC

• Comment numériser plusieurs pages dans un seul fichier PDF

• Critique de livre - Le guide pratique du geek sur Windows 8

• Comment ajouter de la musique à Google Slides

• Comment créer un formulaire Google Docs remplissable avec des tableaux

• Comment ouvrir un fichier JAR sous Windows

• Comment générer des clés SSH sur Windows, Mac et Linux

• Comment transformer votre ordinateur en serveur multimédia DLNA

• Comment tunneliser VNC sur SSH

• Comment utiliser le réseau privé de Firefox pour vous protéger en ligne

• Comment garder votre PC Windows éveillé sans toucher la souris