Biztos vagyok benne, hogy mindenki, aki valaha is dolgozott együtt , panasz érkezett a konfiguráció parancssorból történő szerkesztésének lehetetlensége. Ez különösen azok számára furcsa, akik korábban dolgoztak a Cisco ASA-val, ahol abszolút mindent be lehet állítani a CLI-ben. A Check Point esetében ez fordítva van – minden biztonsági beállítást kizárólag a grafikus felületről hajtottak végre. Néhány dolog azonban teljesen kényelmetlen a grafikus felhasználói felületen keresztül (még egy olyan kényelmes is, mint a Check Pointé). Például 100 új gazdagép vagy hálózat hozzáadása hosszú és fárasztó folyamattá válik. Minden objektumhoz többször kell kattintania az egérrel, és be kell írnia az IP-címet. Ugyanez vonatkozik a webhelyek csoportjának létrehozására vagy az IPS-aláírások tömeges engedélyezésére/letiltására. Ebben az esetben nagy a valószínűsége a hiba elkövetésének.
Viszonylag nemrég történt egy „csoda”. Az új verzió megjelenésével Gaia R80 meghirdették a lehetőséget API használat, amely széles lehetőségeket nyit meg a beállítások automatizálására, adminisztrációra, figyelésre stb. Most már tudod:
- objektumok létrehozása;
- hozzáférési listák hozzáadása vagy szerkesztése;
- pengék engedélyezése/letiltása;
- hálózati interfészek konfigurálása;
- telepítési szabályzatok;
- és még sok más.
Őszintén szólva nem értem, hogyan szállt át ez a hír Habr. Ebben a cikkben röviden ismertetjük az API használatát, és számos gyakorlati példát mutatunk be. A CheckPoint beállításai szkriptek használatával.
Azonnal le szeretném foglalni, hogy az API-t csak a Management szerver használja. Azok. Továbbra is lehetetlen az átjárók kezelése felügyeleti kiszolgáló nélkül.
Ki használhatja elvileg ezt az API-t?
- Rendszergazdák, akik szeretnék egyszerűsíteni vagy automatizálni a rutin Check Point konfigurációs feladatokat;
- A Check Pointot más megoldásokkal (virtualizációs rendszerek, jegyrendszerek, konfigurációkezelő rendszerek stb.) integrálni kívánó cégek;
- Rendszerintegrátorok, akik szabványosítani szeretnék a beállításokat, vagy további Check Point-hoz kapcsolódó termékeket szeretnének létrehozni.
Tipikus séma
Tehát képzeljünk el egy tipikus sémát a Check Pointtal:
Szokás szerint van egy átjárónk (SG), felügyeleti szerver (SMS) és a felügyeleti konzol (SmartConsole). Ebben az esetben a szokásos átjáró konfigurációs folyamat így néz ki:
Azok. Először a rendszergazda számítógépén kell futtatnia SmartConsole, amellyel csatlakozunk a Management szerverhez (SMS). A biztonsági beállításokat az SMS-ben kell elvégezni, és csak ezután alkalmazzák (telepítési szabályzat) átjáróhoz (SG).
Ha a Menedzsment API, alapvetően kihagyhatjuk az első pontot (indíthatjuk a SmartConsole-t) és használhatjuk API parancsok közvetlenül a Menedzsment szerverre (SMS).
Az API használatának módjai
Négy fő módja van a konfiguráció szerkesztésének az API használatával:
1) Az mgmt_cli segédprogram használata
Példa - # mgmt_cli gazdagépnév hozzáadása host1 ip-cím 192.168.2.100
Ez a parancs a Management Server (SMS) parancssorból fut. Szerintem a parancs szintaxisa egyértelmű - a host1 a 192.168.2.100 címmel jön létre.
2) Adja meg az API-parancsokat a clish segítségével (szakértői módban)
Alapvetően mindössze annyit kell tennie, hogy bejelentkezik a parancssorba (mgmt bejelentkezés) a SmartConsole-on (vagy root fiókon) keresztüli csatlakozáskor használt fiók alatt. Akkor beléphetsz API parancsok (ebben az esetben nincs szükség a segédprogram használatára minden parancs előtt mgmt_cli). Létrehozhat teljes értékű BASH szkriptek. Példa a gazdagép által létrehozott szkriptre:
Bash script
#!/bin/bash
main() {
clear
#LOGIN (don't ask for username and password, user is already logged in to Management server as 'root' user)
mgmt_cli login --root true > id_add_host.txt
on_error_print_and_exit "Error: Failed to login, check that the server is up and running (run 'api status')"
#READ HOST NAME
printf "Enter host name:n"
read -e host_name
on_empty_input_print_and_exit "$host_name" "Error: The host's name cannot be empty."
#READ IP ADDRESS
printf "nEnter host IP address:n"
read -e ip
on_empty_input_print_and_exit "$ip" "Error: The host's IP address cannot be empty."
#CREATE HOST
printf "Creating new host: $host_name with IP address: $ipn"
new_host_response=$(mgmt_cli add host name $host_name ip-address $ip -s id_add_host.txt 2> /dev/null)
on_error_print_and_exit "Error: Failed to create host object. n$new_host_response"
#PUBLISH THE CHANGES
printf "nPublishing the changesn"
mgmt_cli publish --root true -s id_add_host.txt &> /dev/null
on_error_print_and_exit "Error: Failed to publish the changes."
#LOGOUT
logout
printf "Done.n"
}
logout(){
mgmt_cli logout --root true -s id_add_host.txt &> /dev/null
}
on_error_print_and_exit(){
if [ $? -ne 0 ]; then
handle_error "$1"
fi
}
handle_error(){
printf "n$1n" #print error message
mgmt_cli discard --root true -s id_add_host.txt &> /dev/null
logout
exit 1
}
on_empty_input_print_and_exit(){
if [ -z "$1" ]; then
printf "$2n" #print error message
logout
exit 0
fi
}
# Script starts here. Call function "main".
main
Ha érdekel, megtekintheti a megfelelő videót:
3) SmartConsole-on keresztül a CLI ablak megnyitásával
Csak annyit kell tennie, hogy kinyitja az ablakot CLI egyenesen onnan SmartConsole, ahogy az alábbi képen is látható.
Ebben az ablakban azonnal megkezdheti az API-parancsok bevitelét.
4) Webszolgáltatások. HTTPS bejegyzéskérés (REST API) használata
Véleményünk szerint ez az egyik legígéretesebb módszer, mert alapján teljes alkalmazásokat „építhet”. menedzsment szerver kezelése (elnézést a tautológiáért). Az alábbiakban egy kicsit részletesebben megvizsgáljuk ezt a módszert.
Összefoglalni:
- API + kli jobban megfelel azoknak, akik hozzászoktak a Ciscóhoz;
- API + shell szkriptek alkalmazásához és rutinfeladatok elvégzéséhez;
- REST API az automatizáláshoz.
Az API engedélyezése
Alapértelmezés szerint az API engedélyezve van a több mint 4 GB RAM-mal rendelkező felügyeleti szervereken és a 8 GB-nál nagyobb RAM-mal rendelkező önálló konfigurációkban. Az állapotot a következő paranccsal ellenőrizheti: api állapot
Ha kiderül, hogy az api le van tiltva, akkor meglehetősen könnyű engedélyezni a SmartConsole-on keresztül: Kezelés és beállítások > Blades > Kezelő API > Speciális beállítások
Ezután tegye közzé (Közzétesz) módosítja, és futtassa a parancsot api újraindítás.
Webes kérések + Python
Az API-parancsok végrehajtásához használhatja a webes kéréseket a segítségével Piton és a könyvtárak kéri, json. Általában egy webes kérés szerkezete három részből áll:
1) Cím
(https://<managemenet server>:<port>/web_api/<command>)
2) HTTP fejlécek
content-Type: application/json
x-chkp-sid: <session ID token as returned by the login command>
3) Kérjen rakományt
A különböző paramétereket tartalmazó szöveg JSON formátumban
Példa különféle parancsok meghívására:
def api_call(ip_addr, port, command, json_payload, sid):
url = 'https://' + ip_addr + ':' + str(port) + '/web_api/' + command
if sid == “”:
request_headers = {'Content-Type' : 'application/json'}
else:
request_headers = {'Content-Type' : 'application/json', 'X-chkp-sid' : sid}
r = requests.post(url,data=json.dumps(json_payload), headers=request_headers,verify=False)
return r.json()
'xxx.xxx.xxx.xxx' -> Ip address GAIA
Íme néhány tipikus feladat, amellyel a Check Point adminisztrációja során leggyakrabban találkozik.
1) Példa engedélyezési és kijelentkezési funkciókra:
Forgatókönyv
payload = {‘user’: ‘your_user’, ‘password’ : ‘your_password’}
response = api_call('xxx.xxx.xxx.xxx', 443, 'login',payload, '')
return response["sid"]
response = api_call('xxx.xxx.xxx.xxx', 443,'logout', {} ,sid)
return response["message"]
2) A pengék bekapcsolása és a hálózat beállítása:
Forgatókönyv
new_gateway_data = {'name':'CPGleb','anti-bot':True,'anti-virus' : True,'application-control':True,'ips':True,'url-filtering':True,'interfaces':
[{'name':"eth0",'topology':'external','ipv4-address': 'xxx.xxx.xxx.xxx',"ipv4-network-mask": "255.255.255.0"},
{'name':"eth1",'topology':'internal','ipv4-address': 'xxx.xxx.xxx.xxx',"ipv4-network-mask": "255.255.255.0"}]}
new_gateway_result = api_call('xxx.xxx.xxx.xxx', 443,'set-simple-gateway', new_gateway_data ,sid)
print(json.dumps(new_gateway_result))
3) A tűzfalszabályok módosítása:
Forgatókönyv
new_access_data={'name':'Cleanup rule','layer':'Network','action':'Accept'}
new_access_result = api_call('xxx.xxx.xxx.xxx', 443,'set-access-rule', new_access_data ,sid)
print(json.dumps(new_access_result))
4) Alkalmazási réteg hozzáadása:
Forgatókönyv
add_access_layer_application={ 'name' : 'application123',"applications-and-url-filtering" : True,"firewall" : False}
add_access_layer_application_result = api_call('xxx.xxx.xxx.xxx', 443,'add-access-layer', add_access_layer_application ,sid)
print(json.dumps(add_access_layer_application_result))
set_package_layer={"name" : "Standard","access":True,"access-layers" : {"add" : [ { "name" : "application123","position" :2}]} ,"installation-targets" : "CPGleb"}
set_package_layer_result = api_call('xxx.xxx.xxx.xxx', 443,'set-package', set_package_layer ,sid)
print(json.dumps(set_package_layer_result))
5) Tegye közzé és állítsa be a házirendet, ellenőrizze a parancs végrehajtását (task-id):
Forgatókönyv
publish_result = api_call('xxx.xxx.xxx.xxx', 443,"publish", {},sid)
print("publish result: " + json.dumps(publish_result))
new_policy = {'policy-package':'Standard','access':True,'targets':['CPGleb']}
new_policy_result = api_call('xxx.xxx.xxx.xxx', 443,'install-policy', new_policy ,sid)
print(json.dumps(new_policy_result)
task_id=(json.dumps(new_policy_result ["task-id"]))
len_str=len(task_id)
task_id=task_id[1:(len_str-1)]
show_task_id ={'task-id':(task_id)}
show_task=api_call('xxx.xxx.xxx.xxx',443,'show-task',show_task_id,sid)
print(json.dumps(show_task))
6) Gazda hozzáadása:
Forgatókönyv
new_host_data = {'name':'JohnDoePc', 'ip-address': '192.168.0.10'}
new_host_result = api_call('xxx.xxx.xxx.xxx', 443,'add-host', new_host_data ,sid)
print(json.dumps(new_host_result))
7) Adjon hozzá egy Fenyegetésmegelőzési mezőt:
Forgatókönyv
set_package_layer={'name':'Standard','threat-prevention' :True,'installation-targets':'CPGleb'}
set_package_layer_result = api_call('xxx.xxx.xxx.xxx', 443,'set-package',set_package_layer,sid)
print(json.dumps(set_package_layer_result))
8) Tekintse meg az ülések listáját
Forgatókönyv
new_session_data = {'limit':'50', 'offset':'0','details-level' : 'standard'}
new_session_result = api_call('xxx.xxx.xxx.xxx', 443,'show-sessions', new_session_data ,sid)
print(json.dumps(new_session_result))
9) Hozzon létre egy új profilt:
Forgatókönyv
add_threat_profile={'name':'Apeiron', "active-protections-performance-impact" : "low","active-protections-severity" : "low or above","confidence-level-medium" : "prevent",
"confidence-level-high" : "prevent", "threat-emulation" : True,"anti-virus" : True,"anti-bot" : True,"ips" : True,
"ips-settings" : { "newly-updated-protections" : "staging","exclude-protection-with-performance-impact" : True,"exclude-protection-with-performance-impact-mode" : "High or lower"},
"overrides" : [ {"protection" : "3Com Network Supervisor Directory Traversal","capture-packets" : True,"action" : "Prevent","track" : "Log"},
{"protection" : "7-Zip ARJ Archive Handling Buffer Overflow", "capture-packets" : True,"action" : "Prevent","track" : "Log"} ]}
add_threat_profile_result=api_call('xxx.xxx.xxx.xxx',443,'add-threat-profile',add_threat_profile,sid)
print(json.dumps(add_threat_profile_result))
10) Módosítsa az IPS-aláírás műveletét:
Forgatókönyv
set_threat_protection={
"name" : "3Com Network Supervisor Directory Traversal",
"overrides" : [{ "profile" : "Apeiron","action" : "Detect","track" : "Log","capture-packets" : True},
{ "profile" : "Apeiron", "action" : "Detect", "track" : "Log", "capture-packets" : False} ]}
set_threat_protection_result=api_call('xxx.xxx.xxx.xxx',443,'set-threat-protection',set_threat_protection,sid)
print(json.dumps(set_threat_protection_result))
11) Adja hozzá szolgáltatását:
Forgatókönyv
add_service_udp={ "name" : "Dota2_udp", "port" : '27000-27030',
"keep-connections-open-after-policy-installation" : False,
"session-timeout" : 0, "match-for-any" : True,
"sync-connections-on-cluster" : True,
"aggressive-aging" : {"enable" : True, "timeout" : 360,"use-default-timeout" : False },
"accept-replies" : False}
add_service_udp_results=api_call('xxx.xxx.xxx.xxx',443,"add-service-udp",add_service_udp,sid)
print(json.dumps(add_service_udp_results))
12) Adjon hozzá egy kategóriát, webhelyet vagy csoportot:
Forgatókönyv
add_application_site_category={ "name" : "Valve","description" : "Valve Games"}
add_application_site_category_results=api_call('xxx.xxx.xxx.xxx',443,"add-application-site-category",add_application_site_category,sid)
print(json.dumps(add_application_site_category_results))
add_application_site={ "name" : "Dota2", "primary-category" : "Valve", "description" : "Dotka",
"url-list" : [ "www.dota2.ru" ], "urls-defined-as-regular-expression" : False}
add_application_site_results=api_call('xxx.xxx.xxx.xxx',443,"add-application-site " ,
add_application_site , sid)
print(json.dumps(add_application_site_results))
add_application_site_group={"name" : "Games","members" : [ "Dota2"]}
add_application_site_group_results=api_call('xxx.xxx.xxx.xxx',443,"add-application-site-group",add_application_site_group,sid)
print(json.dumps(add_application_site_group_results))
Ráadásul a segítséggel WebAPI hozzáadhat és eltávolíthat hálózatokat, gazdagépeket, hozzáférési szerepköröket stb. A pengék testreszabhatók Víruskereső, Antibot, IPS, VPN. A paranccsal még licencek is telepíthetők run-script. Az összes Check Point API parancs megtalálható itt .
Check Point API + Postman
Használata is kényelmes Check Point Web API összefüggésben a . A Postman rendelkezik asztali verziókkal Windows, Linux és MacOS rendszerekhez. Ezen kívül van egy bővítmény a Google Chrome-hoz. Ezt fogjuk használni. Először meg kell találnia a Postman alkalmazást a Google Chrome Store-ban, és telepítenie kell:
Ezzel a segédprogrammal webes kéréseket tudunk generálni a Check Point API-hoz. Annak érdekében, hogy ne emlékezzen az összes API-parancsra, lehetőség van úgynevezett gyűjtemények (sablonok) importálására, amelyek már tartalmazzák az összes szükséges parancsot:
talál gyűjtemény a R80.10. Az importálás után az API parancssablonok elérhetővé válnak számunkra:
Véleményem szerint ez nagyon kényelmes. Gyorsan elkezdheti az alkalmazások fejlesztését a Check Point API használatával.
Check Point + Ansible
Azt is szeretném megjegyezni, hogy van Ansible a CheckPoint API-hoz. A modul lehetővé teszi a konfigurációk kezelését, de nem annyira kényelmes egzotikus problémák megoldására. A szkriptek írása bármilyen programozási nyelven rugalmasabb és kényelmesebb megoldásokat kínál.
Teljesítmény
Valószínűleg itt fejezzük be a Check Point API rövid áttekintését. Véleményem szerint ez a funkció nagyon régóta várt és szükséges volt. Az API megjelenése nagyon széles lehetőségeket nyit meg a Check Point termékekkel dolgozó rendszergazdák és rendszerintegrátorok számára egyaránt. Hangszerelés, automatizálás, SIEM-visszajelzés... most már minden lehetséges.
PS További cikkek erről mint mindig megtalálod a blogunkon vagy a blogon a címen .
PSS A Check Point beállításával kapcsolatos technikai kérdések esetén megteheti
A felmérésben csak regisztrált felhasználók vehetnek részt. , kérem.
Tervezi az API használatát?
-
70,6%Igen 12
-
23,5%No4
-
5,9%Már használ 1
17 felhasználó szavazott. 3 felhasználó tartózkodott.
Forrás: will.com