API של Check Point R80.10. ניהול באמצעות CLI, סקריפטים ועוד

אני בטוח שכל מי שאי פעם עבד איתו צק פוינט, הייתה תלונה על חוסר אפשרות לערוך את התצורה משורת הפקודה. זה מוזר במיוחד עבור אלה שעבדו בעבר עם Cisco ASA, שם ניתן להגדיר הכל ב-CLI. עם צ'ק פוינט זה הפוך - כל הגדרות האבטחה בוצעו אך ורק מהממשק הגרפי. עם זאת, חלק מהדברים אינם נוחים לחלוטין לעשות דרך ה-GUI (אפילו אחד נוח כמו זה של צ'ק פוינט). לדוגמה, המשימה של הוספת 100 מארחים או רשתות חדשים הופכת להליך ארוך ומייגע. עבור כל אובייקט תצטרכו ללחוץ על העכבר מספר פעמים ולהזין את כתובת ה-IP. אותו דבר לגבי יצירת קבוצת אתרים או הפעלה/השבתה המונית של חתימות IPS. במקרה זה, יש סבירות גבוהה לטעות.

"נס" קרה יחסית לאחרונה. עם יציאת הגרסה החדשה גאיה R80 הוכרזה ההזדמנות שימוש ב-API, מה שפותח הזדמנויות רחבות לאוטומציה של הגדרות, ניהול, ניטור וכו'. עכשיו אתה יכול:

• ליצור חפצים;
• להוסיף או לערוך רשימות גישה;
• אפשר/השבת להבים;
• להגדיר ממשקי רשת;
• התקנת מדיניות;
• ועוד הרבה יותר.

למען האמת, אני לא מבין איך הידיעה הזו עברה על ידי הבר. במאמר זה נתאר בקצרה כיצד להשתמש ב-API ונספק מספר דוגמאות מעשיות. הגדרות CheckPoint באמצעות סקריפטים.

אני רוצה להזמין מיד שה-API משמש רק עבור שרת הניהול. הָהֵן. עדיין בלתי אפשרי לנהל שערים ללא שרת ניהול.

מי יכול להשתמש ב-API זה באופן עקרוני?

1. מנהלי מערכת שרוצים לפשט או להפוך משימות תצורה שגרתיות של Check Point;
2. חברות שרוצות לשלב את צ'ק פוינט עם פתרונות נוספים (מערכות וירטואליזציה, מערכות כרטיסים, מערכות ניהול תצורה וכו');
3. משלבי מערכות שרוצים לתקן הגדרות או ליצור מוצרים נוספים הקשורים לצ'ק פוינט.

סכימה אופיינית

אז בואו נדמיין תכנית טיפוסית עם צ'ק פוינט:

כרגיל יש לנו שער (SG), שרת ניהול (SMS) ומסוף הניהול (SmartConsole). במקרה זה, תהליך תצורת השער הרגיל נראה כך:

הָהֵן. ראשית עליך להפעיל במחשב המנהל SmartConsole, שאיתו אנו מתחברים לשרת הניהול (SMS). הגדרות האבטחה נעשות ב-SMS, ורק לאחר מכן מיושמות (מדיניות התקנה) לשער (SG).

בעת שימוש ניהול API, אנחנו יכולים בעצם לדלג על הנקודה הראשונה (להפעיל את SmartConsole) ולהשתמש פקודות API ישירות לשרת הניהול (SMS).

דרכים להשתמש ב-API

ישנן ארבע דרכים עיקריות לערוך את התצורה באמצעות ה-API:

1) שימוש בכלי השירות mgmt_cli

דוגמא - # mgmt_cli הוסף שם מארח host1 IP-address 192.168.2.100
פקודה זו מופעלת משורת הפקודה של שרת הניהול (SMS). אני חושב שהתחביר של הפקודה ברור - host1 נוצר עם הכתובת 192.168.2.100.

2) הזן פקודות API דרך clish (במצב מומחה)

בעיקרון, כל מה שאתה צריך לעשות הוא להיכנס לשורת הפקודה (התחברות של mgmt) תחת החשבון המשמש בעת חיבור באמצעות SmartConsole (או חשבון שורש). אז אתה יכול להיכנס פקודות API (במקרה זה אין צורך להשתמש בכלי השירות לפני כל פקודה mgmt_cli). אתה יכול ליצור מן המניין תסריטי BASH. דוגמה לסקריפט שהמארח יוצר:

תסריט bash

#!/bin/bash

main() {
    clear

    #LOGIN (don't ask for username and password, user is already logged in to Management server as 'root' user)
    mgmt_cli login --root true > id_add_host.txt
    on_error_print_and_exit "Error: Failed to login, check that the server is up and running (run 'api status')"

    #READ HOST NAME
    printf "Enter host name:n"
    read -e host_name
    on_empty_input_print_and_exit "$host_name" "Error: The host's name cannot be empty."

    #READ IP ADDRESS
    printf "nEnter host IP address:n"
    read -e ip
    on_empty_input_print_and_exit "$ip" "Error: The host's IP address cannot be empty."

    #CREATE HOST
    printf "Creating new host: $host_name with IP address: $ipn"
    new_host_response=$(mgmt_cli add host name $host_name ip-address $ip -s id_add_host.txt 2> /dev/null)
    on_error_print_and_exit "Error: Failed to create host object. n$new_host_response"

    #PUBLISH THE CHANGES
    printf "nPublishing the changesn"
    mgmt_cli publish --root true -s id_add_host.txt &> /dev/null
    on_error_print_and_exit "Error: Failed to publish the changes."

    #LOGOUT
    logout
	
	printf "Done.n"
}

logout(){
	mgmt_cli logout --root true -s id_add_host.txt &> /dev/null
}

on_error_print_and_exit(){
    if [ $? -ne 0 ]; then
        handle_error "$1" 
	fi
}

handle_error(){
    printf "n$1n" #print error message
    mgmt_cli discard --root true -s id_add_host.txt &> /dev/null
    logout
    exit 1
}

on_empty_input_print_and_exit(){
	if [ -z "$1" ]; then
		printf "$2n" #print error message
		logout
		exit 0
	fi
}

# Script starts here. Call function "main".
main

אם אתה מעוניין, אתה יכול לצפות בסרטון המתאים:

3) דרך SmartConsole על ידי פתיחת חלון CLI

כל מה שאתה צריך לעשות זה לפתוח את החלון CLI ישר מ SmartConsole, כפי שמוצג בתמונה למטה.

בחלון זה, אתה יכול להתחיל מיד להזין פקודות API.

4) שירותי אינטרנט. השתמש בבקשת פוסט ב-HTTPS (REST API)

לדעתנו, זו אחת השיטות המבטיחות ביותר, כי מאפשר לך "לבנות" יישומים שלמים על בסיס ניהול שרת ניהול (סליחה על הטאוטולוגיה). להלן נסתכל על שיטה זו בפירוט קטן יותר.

לסכם:

1. API + cli מתאים יותר לאנשים שרגילים לסיסקו;
2. API + מעטפת ליישום תסריטים וביצוע משימות שגרתיות;
3. REST API לאוטומציה.

הפעלת ה-API

כברירת מחדל, ה-API מופעל בשרתי ניהול עם יותר מ-4GB RAM ותצורות עצמאיות עם יותר מ-8GB של RAM. אתה יכול לבדוק את המצב באמצעות הפקודה: סטטוס API

אם יתברר שה-API מושבת, אז די קל להפעיל אותו דרך SmartConsole: ניהול והגדרות > להבים > ממשק API לניהול > הגדרות מתקדמות

לאחר מכן פרסם (לפרסם) משתנה והפעל את הפקודה הפעלה מחדש של ה-API.

בקשות אינטרנט + Python

כדי לבצע פקודות API, אתה יכול להשתמש בבקשות אינטרנט באמצעות פיתון וספריות בקשות, ג'סון. באופן כללי, המבנה של בקשת אינטרנט מורכב משלושה חלקים:

1) כתובת

(https://<managemenet server>:<port>/web_api/<command>) 

2) כותרות HTTP

content-Type: application/json
x-chkp-sid: <session ID token as returned by the login command>

3) בקש מטען

טקסט בפורמט JSON המכיל את הפרמטרים השונים

דוגמה לקריאה לפקודות שונות:

def api_call(ip_addr, port, command, json_payload, sid):
    url = 'https://' + ip_addr + ':' + str(port) + '/web_api/' + command
    if sid == “”:
        request_headers = {'Content-Type' : 'application/json'}
    else:
        request_headers = {'Content-Type' : 'application/json', 'X-chkp-sid' : sid}
    r = requests.post(url,data=json.dumps(json_payload), headers=request_headers,verify=False)
    return r.json()                                        
'xxx.xxx.xxx.xxx' -> Ip address GAIA

הנה כמה משימות טיפוסיות שבהן אתה נתקל לרוב בעת ניהול צ'ק פוינט.

1) דוגמה לפונקציות הרשאה ויציאה:

תַסרִיט

    payload = {‘user’: ‘your_user’, ‘password’ : ‘your_password’}
    response = api_call('xxx.xxx.xxx.xxx', 443, 'login',payload, '')
    return response["sid"]

    response = api_call('xxx.xxx.xxx.xxx', 443,'logout', {} ,sid)
    return response["message"]

2) הפעלת הלהבים והגדרת הרשת:

תַסרִיט

new_gateway_data = {'name':'CPGleb','anti-bot':True,'anti-virus' : True,'application-control':True,'ips':True,'url-filtering':True,'interfaces':
                    [{'name':"eth0",'topology':'external','ipv4-address': 'xxx.xxx.xxx.xxx',"ipv4-network-mask": "255.255.255.0"},
                     {'name':"eth1",'topology':'internal','ipv4-address': 'xxx.xxx.xxx.xxx',"ipv4-network-mask": "255.255.255.0"}]}
new_gateway_result = api_call('xxx.xxx.xxx.xxx', 443,'set-simple-gateway', new_gateway_data ,sid)
print(json.dumps(new_gateway_result))

3) שינוי כללי חומת האש:

תַסרִיט

new_access_data={'name':'Cleanup rule','layer':'Network','action':'Accept'}
new_access_result = api_call('xxx.xxx.xxx.xxx', 443,'set-access-rule', new_access_data ,sid)
print(json.dumps(new_access_result))

4) הוספת שכבת יישום:

תַסרִיט

add_access_layer_application={ 'name' : 'application123',"applications-and-url-filtering" : True,"firewall" : False}
add_access_layer_application_result = api_call('xxx.xxx.xxx.xxx', 443,'add-access-layer', add_access_layer_application ,sid)
print(json.dumps(add_access_layer_application_result))

set_package_layer={"name" : "Standard","access":True,"access-layers" : {"add" : [ { "name" : "application123","position" :2}]} ,"installation-targets" : "CPGleb"}
set_package_layer_result = api_call('xxx.xxx.xxx.xxx', 443,'set-package', set_package_layer ,sid)
print(json.dumps(set_package_layer_result))

5) פרסם והגדר את המדיניות, בדוק את ביצוע הפקודה (מזהה משימה):

תַסרִיט

publish_result = api_call('xxx.xxx.xxx.xxx', 443,"publish", {},sid)
print("publish result: " + json.dumps(publish_result))
new_policy = {'policy-package':'Standard','access':True,'targets':['CPGleb']}
new_policy_result = api_call('xxx.xxx.xxx.xxx', 443,'install-policy', new_policy ,sid)
print(json.dumps(new_policy_result)

task_id=(json.dumps(new_policy_result ["task-id"]))
len_str=len(task_id)
task_id=task_id[1:(len_str-1)]
show_task_id ={'task-id':(task_id)}
show_task=api_call('xxx.xxx.xxx.xxx',443,'show-task',show_task_id,sid)
print(json.dumps(show_task))

6) הוסף מארח:

תַסרִיט

new_host_data = {'name':'JohnDoePc', 'ip-address': '192.168.0.10'}
new_host_result = api_call('xxx.xxx.xxx.xxx', 443,'add-host', new_host_data ,sid)
print(json.dumps(new_host_result))

7) הוסף שדה למניעת איומים:

תַסרִיט

set_package_layer={'name':'Standard','threat-prevention' :True,'installation-targets':'CPGleb'}
set_package_layer_result = api_call('xxx.xxx.xxx.xxx', 443,'set-package',set_package_layer,sid)
print(json.dumps(set_package_layer_result))

8) הצג את רשימת המפגשים

תַסרִיט

new_session_data = {'limit':'50', 'offset':'0','details-level' : 'standard'}
new_session_result = api_call('xxx.xxx.xxx.xxx', 443,'show-sessions', new_session_data ,sid)
print(json.dumps(new_session_result))

9) צור פרופיל חדש:

תַסרִיט

add_threat_profile={'name':'Apeiron', "active-protections-performance-impact" : "low","active-protections-severity" : "low or above","confidence-level-medium" : "prevent",
  "confidence-level-high" : "prevent", "threat-emulation" : True,"anti-virus" : True,"anti-bot" : True,"ips" : True,
  "ips-settings" : { "newly-updated-protections" : "staging","exclude-protection-with-performance-impact" : True,"exclude-protection-with-performance-impact-mode" : "High or lower"},
  "overrides" : [ {"protection" : "3Com Network Supervisor Directory Traversal","capture-packets" : True,"action" : "Prevent","track" : "Log"},
                  {"protection" : "7-Zip ARJ Archive Handling Buffer Overflow", "capture-packets" : True,"action" : "Prevent","track" : "Log"} ]}
add_threat_profile_result=api_call('xxx.xxx.xxx.xxx',443,'add-threat-profile',add_threat_profile,sid)
print(json.dumps(add_threat_profile_result))  

10) שנה את הפעולה עבור חתימת IPS:

תַסרִיט

set_threat_protection={
  "name" : "3Com Network Supervisor Directory Traversal",
  "overrides" : [{ "profile" : "Apeiron","action" : "Detect","track" : "Log","capture-packets" : True},
    { "profile" : "Apeiron", "action" : "Detect", "track" : "Log", "capture-packets" : False} ]}
set_threat_protection_result=api_call('xxx.xxx.xxx.xxx',443,'set-threat-protection',set_threat_protection,sid)
print(json.dumps(set_threat_protection_result))

11) הוסף את השירות שלך:

תַסרִיט

add_service_udp={    "name" : "Dota2_udp", "port" : '27000-27030',
"keep-connections-open-after-policy-installation" : False,
"session-timeout" : 0, "match-for-any" : True,
"sync-connections-on-cluster" : True,
"aggressive-aging" : {"enable" : True, "timeout" : 360,"use-default-timeout" : False  },
"accept-replies" : False}
add_service_udp_results=api_call('xxx.xxx.xxx.xxx',443,"add-service-udp",add_service_udp,sid)
print(json.dumps(add_service_udp_results))

12) הוסף קטגוריה, אתר או קבוצה:

תַסרִיט

add_application_site_category={  "name" : "Valve","description" : "Valve Games"}
add_application_site_category_results=api_call('xxx.xxx.xxx.xxx',443,"add-application-site-category",add_application_site_category,sid)
print(json.dumps(add_application_site_category_results))

add_application_site={    "name" : "Dota2", "primary-category" : "Valve",  "description" : "Dotka",
  "url-list" : [ "www.dota2.ru" ], "urls-defined-as-regular-expression" : False}
add_application_site_results=api_call('xxx.xxx.xxx.xxx',443,"add-application-site " , 
add_application_site , sid)
print(json.dumps(add_application_site_results))

add_application_site_group={"name" : "Games","members" : [ "Dota2"]}
add_application_site_group_results=api_call('xxx.xxx.xxx.xxx',443,"add-application-site-group",add_application_site_group,sid)
print(json.dumps(add_application_site_group_results))

בנוסף, בעזרת העזרה ממשק API אתה יכול להוסיף ולהסיר רשתות, מארחים, תפקידי גישה וכו'. להבים ניתן להתאים אישית אנטי וירוס, אנטיבוט, IPS, VPN. אפשר אפילו להתקין רישיונות באמצעות הפקודה ריצה סקריפט. ניתן למצוא את כל הפקודות של Check Point API כאן כאן.

צ'ק פוינט API + Postman

גם נוח לשימוש צ'ק פוינט אינטרנט API בשיתוף עם דוור. ל-Postman יש גרסאות שולחן עבודה עבור Windows, Linux ו-MacOS. בנוסף, יש תוסף לגוגל כרום. זה מה שנשתמש בו. ראשית עליך למצוא את Postman בחנות Google Chrome ולהתקין:

באמצעות כלי זה, נוכל ליצור בקשות אינטרנט ל-Check Point API. כדי לא לזכור את כל פקודות ה-API, אפשר לייבא מה שנקרא קולקציות (תבניות), שכבר מכילות את כל הפקודות הדרושות:

כאן אתה תמצא אוסף עבור R80.10. לאחר הייבוא, תבניות פקודות API יהפכו לזמינות עבורנו:

לדעתי זה מאוד נוח. אתה יכול להתחיל במהירות לפתח יישומים באמצעות צ'ק פוינט API.

Check Point + Ansible

אני גם רוצה לציין שיש בלתי אפשרי מודול עבור CheckPoint API. המודול מאפשר לך לנהל תצורות, אבל זה לא כל כך נוח לפתרון בעיות אקזוטיות. כתיבת סקריפטים בכל שפת תכנות מספקת פתרונות גמישים ונוחים יותר.

פלט

На этом пожалуй мы закончим наш небольшой обзор Check Point API. На мой взгляд эта функция была очень долгожданной и необходимой. Появление API открывает очень широкие возможности как для системных администраторов, так и для системных интеграторов, которые работают с продуктами Check Point. Оркестрация, автоматизация, обратная связь с SIEM… все это теперь возможно.

נ.ב מאמרים נוספים על צק פוינט כמו תמיד אתה יכול למצוא אותו בבלוג שלנו האבר או בבלוג ב- מקוון.

PSS לשאלות טכניות הקשורות להגדרת צ'ק פוינט, תוכל כאן

רק משתמשים רשומים יכולים להשתתף בסקר. להתחברבבקשה.

האם אתה מתכנן להשתמש ב-API?

• 70,6%כן12

• 23,5%מספר 4

• 5,9%כבר משתמש ב1

17 משתמשים הצביעו. 3 משתמשים נמנעו.

מקור: www.habr.com