Опростяване на API на Check Point с Python SDK

Пълната сила на взаимодействие с API се разкрива, когато се използва заедно с програмен код, когато стане възможно динамично генериране на API заявки и инструменти за анализиране на API отговори. Въпреки това, той все още остава незабележим Комплект за разработка на софтуер Python (наричан по-долу Python SDK) за API за управление на Check Point, Но напразно. Той значително опростява живота на разработчиците и ентусиастите по автоматизация. Python придоби огромна популярност напоследък и реших да запълня празнината и да прегледам основните характеристики. Check Point API Python комплект за разработка. Тази статия служи като отлично допълнение към друга статия на Habré API на Check Point R80.10. Управление чрез CLI, скриптове и др. Ще разгледаме как да пишем скриптове с помощта на SDK на Python и ще разгледаме по-отблизо новата функционалност на API за управление във версия 1.6 (поддържа се от R80.40). За да разберете статията, ще ви трябват основни познания за работа с API и Python.

Check Point активно разработва API и в момента са пуснати следните:

• API за управление на Check Point (текуща версия 1.6) — работа с контролния сървър чрез API (и възможност за изпълнение на скриптове на шлюзове, контролирани от контролния сървър)
• Check Point GAIA API (текуща версия 1.4) — работа с шлюзове за сигурност
• API за предотвратяване на заплахи 1.0 — работа с пясъчник в облака Check Point
• API за информираност за самоличността — работа с блейд за разпознаване на самоличността на шлюзове
• API на портала за управление на сигурността — работа с портала за управление на SMB gateway (Повече за SMB шлюзовете)
• IoT API — взаимодействие с IoT контролери
• API за свързване на CloudGuard - работи с CloudGuard Connect (SD-WAN решение за сигурност)
• API на Dome9 - работи с Купол9

Понастоящем Python SDK поддържа взаимодействие само с API за управление и Gaia API. Ще разгледаме най-важните класове, методи и променливи в този модул.

Инсталиране на модула

Модул cpapi инсталира се бързо и лесно от официално хранилище на Check Point в github през пиукам. Подробни инструкции за инсталиране са налични в README.md. Този модул е ​​адаптиран за работа с Python версии 2.7 и 3.7. В тази статия ще бъдат дадени примери с помощта на Python 3.7. Python SDK обаче може да се стартира директно от Check Point Management Server (Smart Management), но те поддържат само Python 2.7, така че последният раздел ще предостави код за версия 2.7. Веднага след инсталирането на модула препоръчвам да разгледате примерите в директориите examples_python2 и examples_python3.

Първи стъпки

За да можем да работим с компонентите на cpapi модула, трябва да импортираме от модула cpapi поне два задължителни класа:

APIClient и APIClientArgs

from cpapi import APIClient, APIClientArgs

Клас APIClientArgs отговаря за параметрите на връзката към API сървъра и класа APIClient отговаря за взаимодействието с API.

Определяне на параметрите на връзката

За да дефинирате различни параметри за свързване към API, трябва да създадете екземпляр на класа APIClientArgs. По принцип параметрите му са предварително дефинирани и при стартиране на скрипта на контролния сървър не е необходимо да се задават.

client_args = APIClientArgs()

Но когато работите на хост на трета страна, трябва да посочите поне IP адреса или името на хоста на API сървъра (известен също като сървър за управление). В примера по-долу ние дефинираме параметъра за връзка със сървъра и му присвояваме IP адреса на сървъра за управление като низ.

client_args = APIClientArgs(server='192.168.47.241')

Нека да разгледаме всички параметри и техните стойности по подразбиране, които могат да се използват при свързване към API сървъра:

Аргументи на метода __init__ на класа APIClientArgs

class APIClientArgs:
    """
    This class provides arguments for APIClient configuration.
    All the arguments are configured with their default values.
    """

    # port is set to None by default, but it gets replaced with 443 if not specified
    # context possible values - web_api (default) or gaia_api
    def __init__(self, port=None, fingerprint=None, sid=None, server="127.0.0.1", http_debug_level=0,
                 api_calls=None, debug_file="", proxy_host=None, proxy_port=8080,
                 api_version=None, unsafe=False, unsafe_auto_accept=False, context="web_api"):
        self.port = port
        # management server fingerprint
        self.fingerprint = fingerprint
        # session-id.
        self.sid = sid
        # management server name or IP-address
        self.server = server
        # debug level
        self.http_debug_level = http_debug_level
        # an array with all the api calls (for debug purposes)
        self.api_calls = api_calls if api_calls else []
        # name of debug file. If left empty, debug data will not be saved to disk.
        self.debug_file = debug_file
        # HTTP proxy server address (without "http://")
        self.proxy_host = proxy_host
        # HTTP proxy port
        self.proxy_port = proxy_port
        # Management server's API version
        self.api_version = api_version
        # Indicates that the client should not check the server's certificate
        self.unsafe = unsafe
        # Indicates that the client should automatically accept and save the server's certificate
        self.unsafe_auto_accept = unsafe_auto_accept
        # The context of using the client - defaults to web_api
        self.context = context

Вярвам, че аргументите, които могат да се използват в екземплярите на класа APIClientArgs, са интуитивни за администраторите на Check Point и не изискват допълнителни коментари.

Свързване чрез APIClient и контекстен мениджър

Клас APIClient Най-удобният начин за използване е чрез контекстния мениджър. Всичко, което трябва да бъде предадено на екземпляр на класа APIClient, са параметрите на връзката, които бяха дефинирани в предишната стъпка.

with APIClient(client_args) as client:

Контекстният мениджър няма автоматично да направи извикване за влизане към API сървъра, но ще направи извикване за излизане при излизане от него. Ако по някаква причина не се изисква излизане след приключване на работата с API извиквания, трябва да започнете работа без да използвате контекстния мениджър:

client = APIClient(clieng_args)

Проверка на връзката

Най-лесният начин да проверите дали връзката отговаря на зададените параметри е чрез метода проверка_пръстов отпечатък. Ако проверката на sha1 хеш сумата за пръстовия отпечатък на API сертификата на сървъра е неуспешна (методът върна Фалшив), тогава това обикновено се причинява от проблеми с връзката и можем да спрем изпълнението на програмата (или да дадем на потребителя възможност да коригира данните за връзка):

    if client.check_fingerprint() is False:
        print("Could not get the server's fingerprint - Check connectivity with the server.")
        exit(1)

Моля, имайте предвид, че в бъдеще класът APIClient ще проверява всяко извикване на API (методи api_call и api_query, ще поговорим за тях малко по-нататък) sha1 сертификат за пръстови отпечатъци на API сървъра. Но ако при проверка на пръстовия отпечатък sha1 на сертификата на API сървъра бъде открита грешка (сертификатът е неизвестен или е променен), методът проверка_пръстов отпечатък ще предостави възможност за автоматично добавяне/промяна на информация за него на локалната машина. Тази проверка може да бъде деактивирана напълно (но това може да се препоръча само ако скриптове се изпълняват на самия API сървър, когато се свързвате към 127.0.0.1), като използвате аргумента APIClientArgs - unsafe_auto_accept (вижте повече за APIClientArgs по-рано в „Дефиниране на параметри на връзката“).

client_args = APIClientArgs(unsafe_auto_accept=True)

Влезте в API сървъра

У APIClient има до 3 метода за влизане в API сървъра и всеки от тях разбира смисъла Сид(session-id), който се използва автоматично при всяко следващо API извикване в заглавката (името в заглавката на този параметър е X-chkp-sid), така че няма нужда от допълнителна обработка на този параметър.

метод за влизане

Опция, използваща потребителско име и парола (в примера потребителското име admin и паролата 1q2w3e се предават като позиционни аргументи):

     login = client.login('admin', '1q2w3e')  

Допълнителни незадължителни параметри също са налични в метода за влизане; ето техните имена и стойности по подразбиране:

continue_last_session=False, domain=None, read_only=False, payload=None

Метод Login_with_api_key

Опция, използваща api ключ (поддържа се от версия за управление R80.40/Management API v1.6, "3TsbPJ8ZKjaJGvFyoFqHFA==" това е стойността на API ключа за един от потребителите на сървъра за управление с метода за оторизация на API ключа):

     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==') 

В метода login_with_api_key налични са същите незадължителни параметри като в метода Влизане.

метод login_as_root

Опция за влизане в локална машина с API сървър:

     login = client.login_as_root()

За този метод има само два незадължителни параметъра:

domain=None, payload=None

И накрая самите API извиквания

Имаме две опции за извършване на API извиквания чрез методи api_call и api_query. Нека да разберем каква е разликата между тях.

api_call

Този метод е приложим за всякакви разговори. Трябва да предадем последната част за API извикването и полезния товар в тялото на заявката, ако е необходимо. Ако полезният товар е празен, тогава той изобщо не може да бъде предаден:

api_versions = client.api_call('show-api-versions') 

Изход за тази заявка под разреза:

In [23]: api_versions                                                           
Out[23]: 
APIResponse({
    "data": {
        "current-version": "1.6",
        "supported-versions": [
            "1",
            "1.1",
            "1.2",
            "1.3",
            "1.4",
            "1.5",
            "1.6"
        ]
    },
    "res_obj": {
        "data": {
            "current-version": "1.6",
            "supported-versions": [
                "1",
                "1.1",
                "1.2",
                "1.3",
                "1.4",
                "1.5",
                "1.6"
            ]
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

show_host = client.api_call('show-host', {'name' : 'h_8.8.8.8'})

Изход за тази заявка под разреза:

In [25]: show_host                                                              
Out[25]: 
APIResponse({
    "data": {
        "color": "black",
        "comments": "",
        "domain": {
            "domain-type": "domain",
            "name": "SMC User",
            "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
        },
        "groups": [],
        "icon": "Objects/host",
        "interfaces": [],
        "ipv4-address": "8.8.8.8",
        "meta-info": {
            "creation-time": {
                "iso-8601": "2020-05-01T21:49+0300",
                "posix": 1588358973517
            },
            "creator": "admin",
            "last-modifier": "admin",
            "last-modify-time": {
                "iso-8601": "2020-05-01T21:49+0300",
                "posix": 1588358973517
            },
            "lock": "unlocked",
            "validation-state": "ok"
        },
        "name": "h_8.8.8.8",
        "nat-settings": {
            "auto-rule": false
        },
        "read-only": false,
        "tags": [],
        "type": "host",
        "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
    },
    "res_obj": {
        "data": {
            "color": "black",
            "comments": "",
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "groups": [],
            "icon": "Objects/host",
            "interfaces": [],
            "ipv4-address": "8.8.8.8",
            "meta-info": {
                "creation-time": {
                    "iso-8601": "2020-05-01T21:49+0300",
                    "posix": 1588358973517
                },
                "creator": "admin",
                "last-modifier": "admin",
                "last-modify-time": {
                    "iso-8601": "2020-05-01T21:49+0300",
                    "posix": 1588358973517
                },
                "lock": "unlocked",
                "validation-state": "ok"
            },
            "name": "h_8.8.8.8",
            "nat-settings": {
                "auto-rule": false
            },
            "read-only": false,
            "tags": [],
            "type": "host",
            "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

api_query

Нека веднага направя резервация, че този метод е приложим само за разговори, чийто изход включва отместване. Такова заключение възниква, когато съдържа или може да съдържа голямо количество информация. Например, това може да бъде заявка за списък на всички създадени хост обекти на сървъра за управление. За такива заявки API връща списък от 50 обекта по подразбиране (можете да увеличите ограничението до 500 обекта в отговора). И за да не изтегляте информацията няколко пъти, променяйки параметъра за отместване в заявката за API, има api_query метод, който върши тази работа автоматично. Примери за обаждания, при които е необходим този метод: show-sessions, show-hosts, show-networks, show-wildcards, show-groups, show-address-ranges, show-simple-gateways, show-simple-clusters, show-access-roles, show-trusted-clients, шоу-пакети. Всъщност виждаме думи в множествено число в името на тези извиквания на API, така че тези извиквания ще бъдат по-лесни за обработка api_query

show_hosts = client.api_query('show-hosts') 

Изход за тази заявка под разреза:

In [21]: show_hosts                                                             
Out[21]: 
APIResponse({
    "data": [
        {
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "ipv4-address": "192.168.47.1",
            "name": "h_192.168.47.1",
            "type": "host",
            "uid": "5d7d7086-d70b-4995-971a-0583b15a2bfc"
        },
        {
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "ipv4-address": "8.8.8.8",
            "name": "h_8.8.8.8",
            "type": "host",
            "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
        }
    ],
    "res_obj": {
        "data": {
            "from": 1,
            "objects": [
                {
                    "domain": {
                        "domain-type": "domain",
                        "name": "SMC User",
                        "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
                    },
                    "ipv4-address": "192.168.47.1",
                    "name": "h_192.168.47.1",
                    "type": "host",
                    "uid": "5d7d7086-d70b-4995-971a-0583b15a2bfc"
                },
                {
                    "domain": {
                        "domain-type": "domain",
                        "name": "SMC User",
                        "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
                    },
                    "ipv4-address": "8.8.8.8",
                    "name": "h_8.8.8.8",
                    "type": "host",
                    "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
                }
            ],
            "to": 2,
            "total": 2
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

Обработка на резултатите от извикванията на API

След това можете да използвате променливите и методите на класа APIResponse(както вътре в контекстния мениджър, така и извън него). В класа APIResponse Предварително са дефинирани 4 метода и 5 променливи, ние ще се спрем на най-важните от тях по-подробно.

успех

Като начало би било добра идея да се уверите, че извикването на API е успешно и е върнало резултат. Има метод за това успех:

In [49]: api_versions.success                                                   
Out[49]: True

Връща True, ако извикването на API е било успешно (код на отговор - 200) и False, ако не е успешно (всеки друг код на отговор). Удобно е да се използва веднага след извикване на API за показване на различна информация в зависимост от кода на отговора.

if api_ver.success: 
    print(api_versions.data) 
else: 
    print(api_versions.err_message) 

статус код

Връща кода на отговор след извикване на API.

In [62]: api_versions.status_code                                               
Out[62]: 400

Възможни кодове за отговор: 200,400,401,403,404,409,500,501.

set_success_status

В този случай може да се наложи да промените стойността на статуса на успех. Технически можете да поставите всичко там, дори обикновен низ. Но реален пример би бил нулирането на този параметър на False при определени съпътстващи условия. По-долу обърнете внимание на примера, когато има изпълнявани задачи на сървъра за управление, но ние ще считаме тази заявка за неуспешна (ще зададем променливата за успех на Фалшив, въпреки факта, че извикването на API беше успешно и върна код 200).

for task in task_result.data["tasks"]:
    if task["status"] == "failed" or task["status"] == "partially succeeded":
        task_result.set_success_status(False)
        break

отговор()

Методът за отговор ви позволява да видите речника с кода на отговора (status_code) и тялото на отговора (body).

In [94]: api_versions.response()                                                
Out[94]: 
{'status_code': 200,
 'data': {'current-version': '1.6',
  'supported-versions': ['1', '1.1', '1.2', '1.3', '1.4', '1.5', '1.6']}}

данни

Позволява ви да видите само тялото на отговора (тялото) без ненужна информация.

In [93]: api_versions.data                                                      
Out[93]: 
{'current-version': '1.6',
 'supported-versions': ['1', '1.1', '1.2', '1.3', '1.4', '1.5', '1.6']}

съобщение за грешка

Тази информация е достъпна само когато е възникнала грешка при обработката на API заявката (код на отговор не 200). Примерен изход

In [107]: api_versions.error_message                                            
Out[107]: 'code: generic_err_invalid_parameter_namenmessage: Unrecognized parameter [1]n'

Полезни примери

Следват примери, които използват извикванията на API, които са добавени в API за управление 1.6.

Първо, нека да разгледаме как работят обажданията add-host и добавяне на диапазон от адреси. Да кажем, че трябва да създадем всички IP адреси на подмрежата 192.168.0.0/24, чийто последен октет е 5, като обекти от тип хост и да запишем всички останали IP адреси като обекти от типа адресен диапазон. В този случай изключете адреса на подмрежата и адреса на излъчване.

И така, по-долу е даден скрипт, който решава този проблем и създава 50 обекта от тип хост и 51 обекта от тип диапазон от адреси. За да се реши проблемът, са необходими 101 извиквания на API (без да се брои последното извикване за публикуване). Освен това, използвайки модула timeit, изчисляваме времето, необходимо за изпълнение на скрипта до публикуване на промените.

Скрипт, използващ add-host и add-address-range

import timeit
from cpapi import APIClient, APIClientArgs

start = timeit.default_timer()

first_ip = 1
last_ip = 4

client_args = APIClientArgs(server="192.168.47.240")

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     for ip in range(5,255,5):
         add_host = client.api_call("add-host", {"name" : f"h_192.168.0.{ip}", "ip-address": f'192.168.0.{ip}'})
     while last_ip < 255:
         add_range = client.api_call("add-address-range", {"name": f"r_192.168.0.{first_ip}-{last_ip}", "ip-address-first": f"192.168.0.{first_ip}", "ip-address-last": f"192.168.0.{last_ip}"})
         first_ip+=5
         last_ip+=5
     stop = timeit.default_timer() 
     publish = client.api_call("publish")
     
print(f'Time to execute batch request: {stop - start} seconds')

В моята лабораторна среда изпълнението на този скрипт отнема между 30 и 50 секунди, в зависимост от натоварването на сървъра за управление.

Сега нека видим как да разрешим същия проблем с помощта на API повикване добавяне на обекти-партида, поддръжката за която беше добавена в API версия 1.6. Това извикване ви позволява да създавате много обекти наведнъж в една заявка за API. Освен това, това могат да бъдат обекти от различни типове (например хостове, подмрежи и диапазони от адреси). Така нашата задача може да бъде решена в рамките на едно извикване на API.

Скрипт, използващ add-Objects-batch

import timeit
from cpapi import APIClient, APIClientArgs

start = timeit.default_timer()

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip = []
objects_list_range = []

for ip in range(5,255,5):
    data = {"name": f'h_192.168.0.{ip}', "ip-address": f'192.168.0.{ip}'}
    objects_list_ip.append(data)
    
first_ip = 1
last_ip = 4


while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "ip-address-first": f"192.168.0.{first_ip}", "ip-address-last": f"192.168.0.{last_ip}"}
    objects_list_range.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip
}, {
    "type" : "address-range",
    "list" : objects_list_range
  }]
}


with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     add_objects_batch = client.api_call("add-objects-batch", data_for_batch)
     stop = timeit.default_timer() 
     publish = client.api_call("publish")
     
print(f'Time to execute batch request: {stop - start} seconds')

Изпълнението на този скрипт в моята лабораторна среда отнема от 3 до 7 секунди, в зависимост от натоварването на сървъра за управление. Това означава, че средно на 101 API обекта, извикването от пакетен тип се изпълнява 10 пъти по-бързо. При по-голям брой обекти разликата ще е още по-впечатляваща.

Сега нека видим как да работим с комплект-обекти-партида. Използвайки това API извикване, можем да променим групово всеки параметър. Нека зададем първата половина от адресите от предишния пример (до .124 хостове и обхвати също) на цвят сиена и да присвоим цвета каки на втората половина от адресите.

Промяна на цвета на обектите, създадени в предишния пример

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip_first = []
objects_list_range_first = []
objects_list_ip_second = []
objects_list_range_second = []

for ip in range(5,125,5):
    data = {"name": f'h_192.168.0.{ip}', "color": "sienna"}
    objects_list_ip_first.append(data)
    
for ip in range(125,255,5):
    data = {"name": f'h_192.168.0.{ip}', "color": "khaki"}
    objects_list_ip_second.append(data)
    
first_ip = 1
last_ip = 4
while last_ip < 125:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "color": "sienna"}
    objects_list_range_first.append(data)
    first_ip+=5
    last_ip+=5
    
while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "color": "khaki"}
    objects_list_range_second.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch_first  = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip_first
}, {
    "type" : "address-range",
    "list" : objects_list_range_first
  }]
}

data_for_batch_second  = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip_second
}, {
    "type" : "address-range",
    "list" : objects_list_range_second
  }]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==') 
     set_objects_batch_first = client.api_call("set-objects-batch", data_for_batch_first)
     set_objects_batch_second = client.api_call("set-objects-batch", data_for_batch_second)
     publish = client.api_call("publish")

Можете да изтриете множество обекти в едно извикване на API, като използвате изтриване на обекти-партида. Сега нека да разгледаме пример за код, който изтрива всички хостове, създадени преди това чрез добавяне на обекти-партида.

Изтриване на обекти чрез delete-objects-batch

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip = []
objects_list_range = []

for ip in range(5,255,5):
    data = {"name": f'h_192.168.0.{ip}'}
    objects_list_ip.append(data)

first_ip = 1
last_ip = 4
while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}"}
    objects_list_range.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip
}, {
    "type" : "address-range",
    "list" : objects_list_range
  }]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     delete_objects_batch = client.api_call("delete-objects-batch", data_for_batch)
     publish = client.api_call("publish")

print(delete_objects_batch.data)

Всички функции, които се появяват в новите версии на софтуера Check Point, незабавно придобиват API извиквания. Така в R80.40 се появиха такива „функции“ като Revert to revision и Smart Task и съответните API извиквания бяха незабавно подготвени за тях. Освен това, цялата функционалност при преминаване от Legacy конзоли към режим Unified Policy също придобива API поддръжка. Например, дългоочакваната актуализация във версия на софтуера R80.40 беше преместването на политиката за инспекция на HTTPS от режим Legacy в режим Unified Policy и тази функционалност веднага получи API извиквания. Ето пример за код, който добавя правило към горната позиция на политиката за проверка на HTTPS, което изключва 3 категории от проверка (здравеопазване, финанси, държавни услуги), които са забранени за проверка в съответствие със закона в редица държави.

Добавете правило към правилата за проверка на HTTPS

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

data = {
  "layer" : "Default Layer",
  "position" : "top",
  "name" : "Legal Requirements",
  "action": "bypass",
  "site-category": ["Health", "Government / Military", "Financial Services"]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     add_https_rule = client.api_call("add-https-rule", data)
     publish = client.api_call("publish")

Изпълнение на Python скриптове на сървъра за управление на Check Point

Всичко е същото README.md съдържа информация как да стартирате Python скриптове директно от контролния сървър. Това може да бъде удобно, когато не можете да се свържете към API сървъра от друга машина. Записах шест минутно видео, в което гледам инсталирането на модула cpapi и функции за изпълнение на Python скриптове на контролния сървър. Като пример се изпълнява скрипт, който автоматизира конфигурацията на нов шлюз за задача като мрежов одит Проверка на сигурността. Сред функциите, с които трябваше да се справя: функцията все още не се е появила в Python 2.7 вход, така че за обработка на информацията, която потребителят въвежда, се използва функция суров_вход. В противен случай кодът е същият като при стартиране от други машини, само че е по-удобно да се използва функцията login_as_root, за да не посочвате отново собственото си потребителско име, парола и IP адрес на сървъра за управление.

Скрипт за бърза настройка на Security CheckUp

from __future__ import print_function
import getpass
import sys, os
sys.path.append(os.path.abspath(os.path.join(os.path.dirname(__file__), '..')))
from cpapi import APIClient, APIClientArgs

def main():
    with APIClient() as client:
       # if client.check_fingerprint() is False:
       #     print("Could not get the server's fingerprint - Check connectivity with the server.")
       #     exit(1)
        login_res = client.login_as_root()

        if login_res.success is False:
            print("Login failed:n{}".format(login_res.error_message))
            exit(1)

        gw_name = raw_input("Enter the gateway name:")
        gw_ip = raw_input("Enter the gateway IP address:")
        if sys.stdin.isatty():
            sic = getpass.getpass("Enter one-time password for the gateway(SIC): ")
        else:
            print("Attention! Your password will be shown on the screen!")
            sic = raw_input("Enter one-time password for the gateway(SIC): ")
        version = raw_input("Enter the gateway version(like RXX.YY):")
        add_gw = client.api_call("add-simple-gateway", {'name' : gw_name, 'ipv4-address' : gw_ip, 'one-time-password' : sic, 'version': version.capitalize(), 'application-control' : 'true', 'url-filtering' : 'true', 'ips' : 'true', 'anti-bot' : 'true', 'anti-virus' : 'true', 'threat-emulation' : 'true'})
        if add_gw.success and add_gw.data['sic-state'] != "communicating":
            print("Secure connection with the gateway hasn't established!")
            exit(1)
        elif add_gw.success:
            print("The gateway was added successfully.")
            gw_uid = add_gw.data['uid']
            gw_name = add_gw.data['name']
        else:
            print("Failed to add the gateway - {}".format(add_gw.error_message))
            exit(1)

        change_policy = client.api_call("set-access-layer", {"name" : "Network", "applications-and-url-filtering": "true", "content-awareness": "true"})
        if change_policy.success:
            print("The policy has been changed successfully")
        else:
            print("Failed to change the policy- {}".format(change_policy.error_message))
        change_rule = client.api_call("set-access-rule", {"name" : "Cleanup rule", "layer" : "Network", "action": "Accept", "track": {"type": "Detailed Log", "accounting": "true"}})
        if change_rule.success:
            print("The cleanup rule has been changed successfully")
        else:
            print("Failed to change the cleanup rule- {}".format(change_rule.error_message))

        # publish the result
        publish_res = client.api_call("publish", {})
        if publish_res.success:
            print("The changes were published successfully.")
        else:
                print("Failed to publish the changes - {}".format(install_tp_policy.error_message))

        install_access_policy = client.api_call("install-policy", {"policy-package" : "Standard", "access" : 'true',  "threat-prevention" : 'false', "targets" : gw_uid})
        if install_access_policy.success:
            print("The access policy has been installed")
        else:
                print("Failed to install access policy - {}".format(install_tp_policy.error_message))

        install_tp_policy = client.api_call("install-policy", {"policy-package" : "Standard", "access" : 'false',  "threat-prevention" : 'true', "targets" : gw_uid})
        if install_tp_policy.success:
            print("The threat prevention policy has been installed")
        else:
            print("Failed to install threat prevention policy - {}".format(install_tp_policy.error_message))
        
        # add passwords and passphrases to dictionary
        with open('additional_pass.conf') as f:
            line_num = 0
            for line in f:
                line_num += 1
                add_password_dictionary = client.api_call("run-script", {"script-name" : "Add passwords and passphrases", "script" : "printf "{}" >> $FWDIR/conf/additional_pass.conf".format(line), "targets" : gw_name})
                if add_password_dictionary.success:
                    print("The password dictionary line {} was added successfully".format(line_num))
                else:
                    print("Failed to add the dictionary - {}".format(add_password_dictionary.error_message))

main()

Примерен файл с речник за пароли Additional_pass.conf
{
"passwords" : ["malware","malicious","infected","Infected"],
"phrases" : ["password","Password","Pass","pass","codigo","key","pwd","пароль","Пароль","Ключ","ключ","шифр","Шифр"] }

Заключение

Тази статия разглежда само основните възможности за работа Python SDK и модул cpapi(както се досещате, това всъщност са синоними), а изучавайки кода в този модул ще откриете още повече възможности за работа с него. Възможно е да искате да го допълните със свои собствени класове, функции, методи и променливи. Винаги можете да споделите работата си и да видите други скриптове за Check Point в секцията CodeHub в общността CheckMates, който обединява както разработчици на продукти, така и потребители.

Приятно кодиране и благодаря, че прочетохте до края!

Източник: www.habr.com