API на Check Point R80.10. Управление чрез CLI, скриптове и др

Сигурен съм, че всеки, който някога е работил с Check Point, имаше оплакване за невъзможност за редактиране на конфигурацията от командния ред. Това е особено диво за тези, които преди това са работили с Cisco ASA, където абсолютно всичко може да бъде конфигурирано в CLI. При Check Point е точно обратното - всички настройки за сигурност се извършват изключително от графичния интерфейс. Въпреки това, някои неща са напълно неудобни за правене през GUI (дори толкова удобно, колкото Check Point). Например задачата за добавяне на 100 нови хоста или мрежи се превръща в дълга и досадна процедура. За всеки обект ще трябва да щракнете няколко пъти с мишката и да въведете ip-адреса. Същото важи и за създаване на група от сайтове или масово активиране/деактивиране на IPS подписи. В този случай има голяма вероятност да направите грешка.

Сравнително наскоро се случи „чудо“. С пускането на новата версия Gaia R80 беше обявена възможност Използване на API, което разкрива широки възможности за автоматизиране на настройки, администриране, наблюдение и др. Сега ти можеш:

• създаване на обекти;
• добавяне или редактиране на списъци за достъп;
• активиране/деактивиране на блейдове;
• конфигуриране на мрежови интерфейси;
• политики за инсталиране;
• и много повече.

Честно казано, не разбирам как тази новина мина през Habr. В тази статия ще опишем накратко как да използвате API и ще дадем някои практически примери. Настройки на CheckPoint с помощта на скриптове.

Бих искал да направя резервация веднага, API се използва само за сървъра за управление. Тези. все още е невъзможно да се управляват шлюзове без сървър за управление.

Кой може да се възползва от този API?

1. Системни администратори, които искат да опростят или автоматизират рутинни задачи за конфигуриране на Check Point;
2. Компании, които искат да интегрират Check Point с други решения (системи за виртуализация, тикет системи, системи за управление на конфигурацията и др.);
3. Системни интегратори, които искат да стандартизират настройките или да създадат допълнителни продукти, свързани с Check Point.

Типична схема

И така, нека си представим типична схема с Check Point:

Както обикновено имаме портал (SG), контролен сървър (SMS) и админ конзола (интелигентна конзола). В този случай обичайният процес на конфигуриране на шлюз е както следва:

Тези. първо трябва да стартирате на компютъра на администратора интелигентна конзола, с който се свързваме към сървъра за управление (SMS). Настройките за сигурност се извършват на SMS и едва след това се прилагат (политика за инсталиране) към шлюза (SG).

При използване на API за управление, можем основно да пропуснем първата стъпка (стартиране на SmartConsole) и да приложим API команди директно към сървъра за управление (SMS).

Начини за използване на API

Има четири основни начина за редактиране на конфигурацията с помощта на API:

1) Използване на помощната програма mgmt_cli

Пример - # mgmt_cli добавете име на хост host1 ip-адрес 192.168.2.100
Тази команда се изпълнява от командния ред на сървъра за управление (SMS). Мисля, че синтаксисът на командата е ясен - host1 се създава с адрес 192.168.2.100.

2) Въведете API команди чрез clish (в експертен режим)

По принцип всичко, което трябва да направите, е да влезете в командния ред (влизане в mgmt) под акаунта, който се използва при свързване чрез SmartConsole (или root акаунт). След това вече можете да влезете API команди (в този случай няма нужда да използвате помощната програма преди всяка команда mgmt_cli). Можете да създадете пълен BASH скриптове. Пример за скрипт, който създава хост:

bash скрипт

#!/bin/bash

main() {
    clear

    #LOGIN (don't ask for username and password, user is already logged in to Management server as 'root' user)
    mgmt_cli login --root true > id_add_host.txt
    on_error_print_and_exit "Error: Failed to login, check that the server is up and running (run 'api status')"

    #READ HOST NAME
    printf "Enter host name:n"
    read -e host_name
    on_empty_input_print_and_exit "$host_name" "Error: The host's name cannot be empty."

    #READ IP ADDRESS
    printf "nEnter host IP address:n"
    read -e ip
    on_empty_input_print_and_exit "$ip" "Error: The host's IP address cannot be empty."

    #CREATE HOST
    printf "Creating new host: $host_name with IP address: $ipn"
    new_host_response=$(mgmt_cli add host name $host_name ip-address $ip -s id_add_host.txt 2> /dev/null)
    on_error_print_and_exit "Error: Failed to create host object. n$new_host_response"

    #PUBLISH THE CHANGES
    printf "nPublishing the changesn"
    mgmt_cli publish --root true -s id_add_host.txt &> /dev/null
    on_error_print_and_exit "Error: Failed to publish the changes."

    #LOGOUT
    logout
	
	printf "Done.n"
}

logout(){
	mgmt_cli logout --root true -s id_add_host.txt &> /dev/null
}

on_error_print_and_exit(){
    if [ $? -ne 0 ]; then
        handle_error "$1" 
	fi
}

handle_error(){
    printf "n$1n" #print error message
    mgmt_cli discard --root true -s id_add_host.txt &> /dev/null
    logout
    exit 1
}

on_empty_input_print_and_exit(){
	if [ -z "$1" ]; then
		printf "$2n" #print error message
		logout
		exit 0
	fi
}

# Script starts here. Call function "main".
main

Ако проявявате интерес, можете да гледате съответното видео:

3) Чрез SmartConsole, като отворите CLI прозореца

Всичко, което трябва да направите, е да отворите прозореца CLI направо от интелигентна конзола, както е показано на снимката по-долу.

В този прозорец можете веднага да започнете да въвеждате API команди.

4) Уеб услуги. Използвайте HTTPS Post заявка (REST API)

Според нас това е един от най-обещаващите начини, т.к. ви позволява да „изграждате“ цели приложения според управление на сървър за управление (съжалявам за тавтологията). Ще разгледаме този метод малко по-подробно по-долу.

Да обобщим:

1. API+cli по-подходящ за хора, които са свикнали с Cisco;
2. API + обвивка да прилага скриптове и да изпълнява рутинни задачи;
3. REST API за автоматизация.

Активирайте API

По подразбиране API е активиран на сървъри за управление с повече от 4 GB RAM и самостоятелни конфигурации с повече от 8 GB RAM. Можете да проверите състоянието с командата: api състояние

Ако се окаже, че API е деактивиран, тогава е доста лесно да го активирате чрез SmartConsole: Управление и настройки > Блейдове > API за управление > Разширени настройки

След това публикувайте (Публикувам) промени и изпълнете командата api рестартиране.

уеб заявки + python

За да изпълните API команди, можете да използвате уеб заявки, като използвате Питон и библиотеки искания, JSON. Като цяло структурата на една уеб заявка се състои от три части:

1)Адрес

(https://<managemenet server>:<port>/web_api/<command>) 

2) HTTP заглавки

content-Type: application/json
x-chkp-sid: <session ID token as returned by the login command>

3) Поискайте полезен товар

Текст във формат JSON, съдържащ различните параметри

Пример за извикване на различни команди:

def api_call(ip_addr, port, command, json_payload, sid):
    url = 'https://' + ip_addr + ':' + str(port) + '/web_api/' + command
    if sid == “”:
        request_headers = {'Content-Type' : 'application/json'}
    else:
        request_headers = {'Content-Type' : 'application/json', 'X-chkp-sid' : sid}
    r = requests.post(url,data=json.dumps(json_payload), headers=request_headers,verify=False)
    return r.json()                                        
'xxx.xxx.xxx.xxx' -> Ip address GAIA

Ето няколко типични задачи, които най-често срещате, когато администрирате Check Point.

1) Пример за функции за оторизация и излизане:

Скрипт

    payload = {‘user’: ‘your_user’, ‘password’ : ‘your_password’}
    response = api_call('xxx.xxx.xxx.xxx', 443, 'login',payload, '')
    return response["sid"]

    response = api_call('xxx.xxx.xxx.xxx', 443,'logout', {} ,sid)
    return response["message"]

2) Включване на блейдовете и настройка на мрежата:

Скрипт

new_gateway_data = {'name':'CPGleb','anti-bot':True,'anti-virus' : True,'application-control':True,'ips':True,'url-filtering':True,'interfaces':
                    [{'name':"eth0",'topology':'external','ipv4-address': 'xxx.xxx.xxx.xxx',"ipv4-network-mask": "255.255.255.0"},
                     {'name':"eth1",'topology':'internal','ipv4-address': 'xxx.xxx.xxx.xxx',"ipv4-network-mask": "255.255.255.0"}]}
new_gateway_result = api_call('xxx.xxx.xxx.xxx', 443,'set-simple-gateway', new_gateway_data ,sid)
print(json.dumps(new_gateway_result))

3) Промяна на правилата на защитната стена:

Скрипт

new_access_data={'name':'Cleanup rule','layer':'Network','action':'Accept'}
new_access_result = api_call('xxx.xxx.xxx.xxx', 443,'set-access-rule', new_access_data ,sid)
print(json.dumps(new_access_result))

4) Добавяне на приложен слой:

Скрипт

add_access_layer_application={ 'name' : 'application123',"applications-and-url-filtering" : True,"firewall" : False}
add_access_layer_application_result = api_call('xxx.xxx.xxx.xxx', 443,'add-access-layer', add_access_layer_application ,sid)
print(json.dumps(add_access_layer_application_result))

set_package_layer={"name" : "Standard","access":True,"access-layers" : {"add" : [ { "name" : "application123","position" :2}]} ,"installation-targets" : "CPGleb"}
set_package_layer_result = api_call('xxx.xxx.xxx.xxx', 443,'set-package', set_package_layer ,sid)
print(json.dumps(set_package_layer_result))

5) Публикувайте и инсталирайте политиката, проверете изпълнението на командата (task-id):

Скрипт

publish_result = api_call('xxx.xxx.xxx.xxx', 443,"publish", {},sid)
print("publish result: " + json.dumps(publish_result))
new_policy = {'policy-package':'Standard','access':True,'targets':['CPGleb']}
new_policy_result = api_call('xxx.xxx.xxx.xxx', 443,'install-policy', new_policy ,sid)
print(json.dumps(new_policy_result)

task_id=(json.dumps(new_policy_result ["task-id"]))
len_str=len(task_id)
task_id=task_id[1:(len_str-1)]
show_task_id ={'task-id':(task_id)}
show_task=api_call('xxx.xxx.xxx.xxx',443,'show-task',show_task_id,sid)
print(json.dumps(show_task))

6) Добавете хост:

Скрипт

new_host_data = {'name':'JohnDoePc', 'ip-address': '192.168.0.10'}
new_host_result = api_call('xxx.xxx.xxx.xxx', 443,'add-host', new_host_data ,sid)
print(json.dumps(new_host_result))

7) Добавете поле за предотвратяване на заплахи:

Скрипт

set_package_layer={'name':'Standard','threat-prevention' :True,'installation-targets':'CPGleb'}
set_package_layer_result = api_call('xxx.xxx.xxx.xxx', 443,'set-package',set_package_layer,sid)
print(json.dumps(set_package_layer_result))

8) Вижте списъка със сесии

Скрипт

new_session_data = {'limit':'50', 'offset':'0','details-level' : 'standard'}
new_session_result = api_call('xxx.xxx.xxx.xxx', 443,'show-sessions', new_session_data ,sid)
print(json.dumps(new_session_result))

9) Създайте нов профил:

Скрипт

add_threat_profile={'name':'Apeiron', "active-protections-performance-impact" : "low","active-protections-severity" : "low or above","confidence-level-medium" : "prevent",
  "confidence-level-high" : "prevent", "threat-emulation" : True,"anti-virus" : True,"anti-bot" : True,"ips" : True,
  "ips-settings" : { "newly-updated-protections" : "staging","exclude-protection-with-performance-impact" : True,"exclude-protection-with-performance-impact-mode" : "High or lower"},
  "overrides" : [ {"protection" : "3Com Network Supervisor Directory Traversal","capture-packets" : True,"action" : "Prevent","track" : "Log"},
                  {"protection" : "7-Zip ARJ Archive Handling Buffer Overflow", "capture-packets" : True,"action" : "Prevent","track" : "Log"} ]}
add_threat_profile_result=api_call('xxx.xxx.xxx.xxx',443,'add-threat-profile',add_threat_profile,sid)
print(json.dumps(add_threat_profile_result))  

10) Промяна на действие за IPS подпис:

Скрипт

set_threat_protection={
  "name" : "3Com Network Supervisor Directory Traversal",
  "overrides" : [{ "profile" : "Apeiron","action" : "Detect","track" : "Log","capture-packets" : True},
    { "profile" : "Apeiron", "action" : "Detect", "track" : "Log", "capture-packets" : False} ]}
set_threat_protection_result=api_call('xxx.xxx.xxx.xxx',443,'set-threat-protection',set_threat_protection,sid)
print(json.dumps(set_threat_protection_result))

11) Добавете вашата услуга:

Скрипт

add_service_udp={    "name" : "Dota2_udp", "port" : '27000-27030',
"keep-connections-open-after-policy-installation" : False,
"session-timeout" : 0, "match-for-any" : True,
"sync-connections-on-cluster" : True,
"aggressive-aging" : {"enable" : True, "timeout" : 360,"use-default-timeout" : False  },
"accept-replies" : False}
add_service_udp_results=api_call('xxx.xxx.xxx.xxx',443,"add-service-udp",add_service_udp,sid)
print(json.dumps(add_service_udp_results))

12) Добавете категория, сайт или група:

Скрипт

add_application_site_category={  "name" : "Valve","description" : "Valve Games"}
add_application_site_category_results=api_call('xxx.xxx.xxx.xxx',443,"add-application-site-category",add_application_site_category,sid)
print(json.dumps(add_application_site_category_results))

add_application_site={    "name" : "Dota2", "primary-category" : "Valve",  "description" : "Dotka",
  "url-list" : [ "www.dota2.ru" ], "urls-defined-as-regular-expression" : False}
add_application_site_results=api_call('xxx.xxx.xxx.xxx',443,"add-application-site " , 
add_application_site , sid)
print(json.dumps(add_application_site_results))

add_application_site_group={"name" : "Games","members" : [ "Dota2"]}
add_application_site_group_results=api_call('xxx.xxx.xxx.xxx',443,"add-application-site-group",add_application_site_group,sid)
print(json.dumps(add_application_site_group_results))

Освен това с помощта Уеб API можете да добавяте и премахвате мрежи, хостове, роли за достъп и т.н. Остриетата могат да бъдат конфигурирани Антивирус, Antibot, IPS, VPN. Възможно е дори да инсталирате лицензи с помощта на командата стартиране на скрипт. Всички команди на Check Point API могат да бъдат намерени тук.

API на Check Point + пощальон

Освен това е удобен за използване Уеб API на Check Point във връзка с пощаджия. Postman има настолни версии за Windows, Linux и MacOS. Освен това има плъгин за Google Chrome. Ще ги използваме. Първо трябва да намерите Postman в Google Chrome Store и да инсталирате:

С тази помощна програма ще можем да генерираме уеб заявки към API на Check Point. За да не се запомнят всички API команди, е възможно да се импортират така наречените колекции (шаблони), които вече съдържат всички необходими команди:

Тук ще намерите колекция за R80.10. След импортирането шаблоните за команди на API ще станат достъпни за нас:

Според мен е много удобно. Можете да започнете да разработвате приложения с помощта на API на Check Point много бързо.

Check Point + Ansible

Бих искал също да отбележа, че има Ansible модул за API на CheckPoint. Модулът ви позволява да управлявате конфигурации, но не е толкова удобен за решаване на екзотични проблеми. Писането на скриптове на произволен език за програмиране осигурява по-гъвкави и удобни решения.

Продукция

На това, може би, ще завършим нашия кратък преглед на API на Check Point. Според мен тази функция беше много дългоочаквана и необходима. Появата на API отваря много широки възможности както за системните администратори, така и за системните интегратори, които работят с продуктите на Check Point. Оркестрация, автоматизация, SIEM обратна връзка... всичко това е възможно сега.

PS Още статии за Check Point както винаги можете да намерите в нашия блог Хабр или в блога уебсайт.

PSS За технически въпроси, свързани с конфигурирането на Check Point, можете тук

В анкетата могат да участват само регистрирани потребители. Впиши се, Моля те.

Планирате ли да използвате API?

• 70,6%да 12

• 23,5%No4

• 5,9%Вече използвам1

17 потребители гласуваха. 3 потребители се въздържаха.

Източник: www.habr.com