체크 포인트 R80.10 API. CLI, 스크립트 등을 통한 제어

나는 함께 일해 본 모든 사람들이 확신합니다 체크 포인트, 다음에 대한 불만이 있었습니다. 명령줄에서 구성을 편집할 수 없음. 이는 이전에 CLI에서 모든 것을 구성할 수 있는 Cisco ASA에서 작업한 경험이 있는 사람들에게는 특히 이상합니다. Check Point를 사용하면 그 반대입니다. 모든 보안 설정이 그래픽 인터페이스에서만 수행되었습니다. 그러나 GUI를 통해 수행하기에는 완전히 불편한 작업도 있습니다(Check Point만큼 편리한 작업도 마찬가지입니다). 예를 들어, 100개의 새로운 호스트나 네트워크를 추가하는 작업은 길고 지루한 절차가 됩니다. 각 개체에 대해 마우스를 여러 번 클릭하고 IP 주소를 입력해야 합니다. 사이트 그룹을 생성하거나 IPS 서명을 대량으로 활성화/비활성화하는 경우에도 마찬가지입니다. 이 경우 실수할 가능성이 높습니다.

비교적 최근에 "기적"이 일어났습니다. 새 버전 출시와 함께 가이아 R80 기회가 발표되었습니다 API 사용, 설정, 관리, 모니터링 등을 자동화할 수 있는 폭넓은 기회가 열립니다. 이제 다음을 수행할 수 있습니다.

• 객체 생성;
• 액세스 목록을 추가하거나 편집합니다.
• 블레이드 활성화/비활성화;
• 네트워크 인터페이스 구성;
• 정책 설치;
• 그리고 훨씬 더.

솔직히 말해서 이 소식이 어떻게 Habr에게 전달되었는지 이해가 되지 않습니다. 이 기사에서는 API 사용 방법을 간략하게 설명하고 몇 가지 실제 예제를 제공합니다. 스크립트를 사용한 CheckPoint 설정.

API가 관리서버에만 사용된다고 바로 예약하고 싶습니다. 저것들. 관리 서버 없이 게이트웨이를 관리하는 것은 여전히 ​​불가능합니다.

원칙적으로 누가 이 API를 사용할 수 있나요?

1. 일상적인 Check Point 구성 작업을 단순화하거나 자동화하려는 시스템 관리자
2. 체크포인트를 다른 솔루션(가상화 시스템, 티켓 시스템, 구성 관리 시스템 등)과 통합하려는 기업
3. 설정을 표준화하거나 Check Point 관련 제품을 추가로 생성하려는 시스템 통합자.

전형적인 계획

이제 Check Point를 사용한 일반적인 구성표를 상상해 보겠습니다.

평소와 같이 게이트웨이(SG), 관리서버(SMS) 및 관리 콘솔(스마트콘솔). 이 경우 일반적인 게이트웨이 구성 프로세스는 다음과 같습니다.

저것들. 먼저 관리자의 컴퓨터에서 실행해야 합니다. 스마트콘솔, 이를 통해 관리 서버(SMS). 보안 설정은 SMS에서 설정한 후 적용됩니다(설치 정책)에서 게이트웨이(SG).

를 사용할 때 관리 API, 기본적으로 첫 번째 지점(SmartConsole 실행)을 건너뛰고 다음을 사용할 수 있습니다. API 명령 관리 서버(SMS)로 직접 전송됩니다.

API 사용 방법

API를 사용하여 구성을 편집하는 네 가지 주요 방법은 다음과 같습니다.

1) mgmt_cli 유틸리티 사용

예 - # mgmt_cli 추가 호스트 이름 호스트1 IP 주소 192.168.2.100
이 명령은 관리 서버(SMS) 명령줄에서 실행됩니다. 나는 명령의 구문이 명확하다고 생각합니다. 호스트1은 주소 192.168.2.100으로 생성됩니다.

2) clish를 통해 API 명령 입력(전문가 모드)

기본적으로 해야 할 일은 명령줄에 로그인하는 것뿐입니다(관리 로그인) SmartConsole(또는 루트 계정)을 통해 연결할 때 사용되는 계정에서. 그러면 들어갈 수 있어요 API 명령 (이 경우 각 명령 전에 유틸리티를 사용할 필요가 없습니다. mgmt_cli). 본격적인 제작이 가능합니다 BASH 스크립트. 호스트가 생성하는 스크립트의 예:

배쉬 스크립트

#!/bin/bash

main() {
    clear

    #LOGIN (don't ask for username and password, user is already logged in to Management server as 'root' user)
    mgmt_cli login --root true > id_add_host.txt
    on_error_print_and_exit "Error: Failed to login, check that the server is up and running (run 'api status')"

    #READ HOST NAME
    printf "Enter host name:n"
    read -e host_name
    on_empty_input_print_and_exit "$host_name" "Error: The host's name cannot be empty."

    #READ IP ADDRESS
    printf "nEnter host IP address:n"
    read -e ip
    on_empty_input_print_and_exit "$ip" "Error: The host's IP address cannot be empty."

    #CREATE HOST
    printf "Creating new host: $host_name with IP address: $ipn"
    new_host_response=$(mgmt_cli add host name $host_name ip-address $ip -s id_add_host.txt 2> /dev/null)
    on_error_print_and_exit "Error: Failed to create host object. n$new_host_response"

    #PUBLISH THE CHANGES
    printf "nPublishing the changesn"
    mgmt_cli publish --root true -s id_add_host.txt &> /dev/null
    on_error_print_and_exit "Error: Failed to publish the changes."

    #LOGOUT
    logout
	
	printf "Done.n"
}

logout(){
	mgmt_cli logout --root true -s id_add_host.txt &> /dev/null
}

on_error_print_and_exit(){
    if [ $? -ne 0 ]; then
        handle_error "$1" 
	fi
}

handle_error(){
    printf "n$1n" #print error message
    mgmt_cli discard --root true -s id_add_host.txt &> /dev/null
    logout
    exit 1
}

on_empty_input_print_and_exit(){
	if [ -z "$1" ]; then
		printf "$2n" #print error message
		logout
		exit 0
	fi
}

# Script starts here. Call function "main".
main

관심이 있으시면 해당 비디오를 시청하실 수 있습니다.

3) CLI 창을 열어 SmartConsole을 통해

창문을 열기만 하면 돼요 CLI 에서 바로 스마트콘솔, 아래 그림과 같습니다.

이 창에서 즉시 API 명령 입력을 시작할 수 있습니다.

4) 웹 서비스. HTTPS 게시 요청 사용(REST API)

우리 의견으로는 이것이 가장 유망한 방법 중 하나입니다. 기반으로 전체 애플리케이션을 "구축"할 수 있습니다. 관리 서버 관리 (말이 길어서 죄송합니다). 아래에서는 이 방법을 좀 더 자세히 살펴보겠습니다.

요약:

1. API + CLI Cisco에 익숙한 사람들에게 더 적합합니다.
2. API + 쉘 스크립트 적용 및 일상적인 작업 수행
3. REST API 자동화를 위해.

API 활성화

기본적으로 API는 RAM이 4GB 이상인 관리 서버와 RAM이 8GB 이상인 독립 실행형 구성에서 활성화됩니다. 다음 명령을 사용하여 상태를 확인할 수 있습니다. API 상태

API가 비활성화된 것으로 밝혀지면 SmartConsole을 통해 API를 활성화하는 것이 매우 쉽습니다. 관리 및 설정 > 블레이드 > 관리 API > 고급 설정

그런 다음 게시합니다(게시이다.) 명령을 변경하고 실행합니다. API 재시작.

웹 요청 + Python

API 명령을 실행하려면 다음을 사용하여 웹 요청을 사용할 수 있습니다. Python 그리고 도서관 요청, JSON. 일반적으로 웹 요청의 구조는 세 부분으로 구성됩니다.

1)주소

(https://<managemenet server>:<port>/web_api/<command>) 

2) HTTP 헤더

content-Type: application/json
x-chkp-sid: <session ID token as returned by the login command>

3) 요청 페이로드

다양한 매개변수를 포함하는 JSON 형식의 텍스트

다양한 명령 호출의 예:

def api_call(ip_addr, port, command, json_payload, sid):
    url = 'https://' + ip_addr + ':' + str(port) + '/web_api/' + command
    if sid == “”:
        request_headers = {'Content-Type' : 'application/json'}
    else:
        request_headers = {'Content-Type' : 'application/json', 'X-chkp-sid' : sid}
    r = requests.post(url,data=json.dumps(json_payload), headers=request_headers,verify=False)
    return r.json()                                        
'xxx.xxx.xxx.xxx' -> Ip address GAIA

Check Point를 관리할 때 가장 자주 접하게 되는 몇 가지 일반적인 작업은 다음과 같습니다.

1) 인증 및 로그아웃 기능의 예:

스크립트

    payload = {‘user’: ‘your_user’, ‘password’ : ‘your_password’}
    response = api_call('xxx.xxx.xxx.xxx', 443, 'login',payload, '')
    return response["sid"]

    response = api_call('xxx.xxx.xxx.xxx', 443,'logout', {} ,sid)
    return response["message"]

2) 블레이드를 켜고 네트워크 설정:

스크립트

new_gateway_data = {'name':'CPGleb','anti-bot':True,'anti-virus' : True,'application-control':True,'ips':True,'url-filtering':True,'interfaces':
                    [{'name':"eth0",'topology':'external','ipv4-address': 'xxx.xxx.xxx.xxx',"ipv4-network-mask": "255.255.255.0"},
                     {'name':"eth1",'topology':'internal','ipv4-address': 'xxx.xxx.xxx.xxx',"ipv4-network-mask": "255.255.255.0"}]}
new_gateway_result = api_call('xxx.xxx.xxx.xxx', 443,'set-simple-gateway', new_gateway_data ,sid)
print(json.dumps(new_gateway_result))

3) 방화벽 규칙 변경:

스크립트

new_access_data={'name':'Cleanup rule','layer':'Network','action':'Accept'}
new_access_result = api_call('xxx.xxx.xxx.xxx', 443,'set-access-rule', new_access_data ,sid)
print(json.dumps(new_access_result))

4) 애플리케이션 레이어 추가:

스크립트

add_access_layer_application={ 'name' : 'application123',"applications-and-url-filtering" : True,"firewall" : False}
add_access_layer_application_result = api_call('xxx.xxx.xxx.xxx', 443,'add-access-layer', add_access_layer_application ,sid)
print(json.dumps(add_access_layer_application_result))

set_package_layer={"name" : "Standard","access":True,"access-layers" : {"add" : [ { "name" : "application123","position" :2}]} ,"installation-targets" : "CPGleb"}
set_package_layer_result = api_call('xxx.xxx.xxx.xxx', 443,'set-package', set_package_layer ,sid)
print(json.dumps(set_package_layer_result))

5) 정책을 게시 및 설정하고 명령(task-id) 실행을 확인합니다.

스크립트

publish_result = api_call('xxx.xxx.xxx.xxx', 443,"publish", {},sid)
print("publish result: " + json.dumps(publish_result))
new_policy = {'policy-package':'Standard','access':True,'targets':['CPGleb']}
new_policy_result = api_call('xxx.xxx.xxx.xxx', 443,'install-policy', new_policy ,sid)
print(json.dumps(new_policy_result)

task_id=(json.dumps(new_policy_result ["task-id"]))
len_str=len(task_id)
task_id=task_id[1:(len_str-1)]
show_task_id ={'task-id':(task_id)}
show_task=api_call('xxx.xxx.xxx.xxx',443,'show-task',show_task_id,sid)
print(json.dumps(show_task))

6) 호스트 추가:

스크립트

new_host_data = {'name':'JohnDoePc', 'ip-address': '192.168.0.10'}
new_host_result = api_call('xxx.xxx.xxx.xxx', 443,'add-host', new_host_data ,sid)
print(json.dumps(new_host_result))

7) 위협 예방 필드를 추가합니다.

스크립트

set_package_layer={'name':'Standard','threat-prevention' :True,'installation-targets':'CPGleb'}
set_package_layer_result = api_call('xxx.xxx.xxx.xxx', 443,'set-package',set_package_layer,sid)
print(json.dumps(set_package_layer_result))

8) 세션 목록 보기

스크립트

new_session_data = {'limit':'50', 'offset':'0','details-level' : 'standard'}
new_session_result = api_call('xxx.xxx.xxx.xxx', 443,'show-sessions', new_session_data ,sid)
print(json.dumps(new_session_result))

9) 새 프로필을 만듭니다.

스크립트

add_threat_profile={'name':'Apeiron', "active-protections-performance-impact" : "low","active-protections-severity" : "low or above","confidence-level-medium" : "prevent",
  "confidence-level-high" : "prevent", "threat-emulation" : True,"anti-virus" : True,"anti-bot" : True,"ips" : True,
  "ips-settings" : { "newly-updated-protections" : "staging","exclude-protection-with-performance-impact" : True,"exclude-protection-with-performance-impact-mode" : "High or lower"},
  "overrides" : [ {"protection" : "3Com Network Supervisor Directory Traversal","capture-packets" : True,"action" : "Prevent","track" : "Log"},
                  {"protection" : "7-Zip ARJ Archive Handling Buffer Overflow", "capture-packets" : True,"action" : "Prevent","track" : "Log"} ]}
add_threat_profile_result=api_call('xxx.xxx.xxx.xxx',443,'add-threat-profile',add_threat_profile,sid)
print(json.dumps(add_threat_profile_result))  

10) IPS 서명에 대한 작업을 변경합니다.

스크립트

set_threat_protection={
  "name" : "3Com Network Supervisor Directory Traversal",
  "overrides" : [{ "profile" : "Apeiron","action" : "Detect","track" : "Log","capture-packets" : True},
    { "profile" : "Apeiron", "action" : "Detect", "track" : "Log", "capture-packets" : False} ]}
set_threat_protection_result=api_call('xxx.xxx.xxx.xxx',443,'set-threat-protection',set_threat_protection,sid)
print(json.dumps(set_threat_protection_result))

11) 서비스를 추가하세요.

스크립트

add_service_udp={    "name" : "Dota2_udp", "port" : '27000-27030',
"keep-connections-open-after-policy-installation" : False,
"session-timeout" : 0, "match-for-any" : True,
"sync-connections-on-cluster" : True,
"aggressive-aging" : {"enable" : True, "timeout" : 360,"use-default-timeout" : False  },
"accept-replies" : False}
add_service_udp_results=api_call('xxx.xxx.xxx.xxx',443,"add-service-udp",add_service_udp,sid)
print(json.dumps(add_service_udp_results))

12) 카테고리, 사이트 또는 그룹을 추가합니다.

스크립트

add_application_site_category={  "name" : "Valve","description" : "Valve Games"}
add_application_site_category_results=api_call('xxx.xxx.xxx.xxx',443,"add-application-site-category",add_application_site_category,sid)
print(json.dumps(add_application_site_category_results))

add_application_site={    "name" : "Dota2", "primary-category" : "Valve",  "description" : "Dotka",
  "url-list" : [ "www.dota2.ru" ], "urls-defined-as-regular-expression" : False}
add_application_site_results=api_call('xxx.xxx.xxx.xxx',443,"add-application-site " , 
add_application_site , sid)
print(json.dumps(add_application_site_results))

add_application_site_group={"name" : "Games","members" : [ "Dota2"]}
add_application_site_group_results=api_call('xxx.xxx.xxx.xxx',443,"add-application-site-group",add_application_site_group,sid)
print(json.dumps(add_application_site_group_results))

게다가 도움을 받아 웹 API 네트워크, 호스트, 액세스 역할 등을 추가하고 제거할 수 있습니다. 블레이드를 사용자 정의할 수 있습니다. 안티바이러스, 안티봇, IPS, VPN. 명령을 사용하여 라이센스를 설치할 수도 있습니다. 실행 스크립트. 모든 Check Point API 명령은 여기에서 찾을 수 있습니다. 여기에.

체크포인트 API + Postman

사용하기에도 편리합니다 체크포인트 웹 API 와 함께 우편 집배원. Postman에는 Windows, Linux 및 MacOS용 데스크톱 버전이 있습니다. 또한 Google Chrome용 플러그인도 있습니다. 이것이 우리가 사용할 것입니다. 먼저 Google Chrome Store에서 Postman을 찾아 다음을 설치해야 합니다.

이 유틸리티를 사용하면 Check Point API에 대한 웹 요청을 생성할 수 있습니다. 모든 API 명령을 기억하지 않으려면 필요한 모든 명령이 이미 포함되어 있는 소위 컬렉션(템플릿)을 가져올 수 있습니다.

여기에 너는 찾을거야. 수집 에 R80.10. 가져온 후에는 API 명령 템플릿을 사용할 수 있게 됩니다.

제 생각에는 이것이 매우 편리합니다. Check Point API를 사용하면 애플리케이션 개발을 빠르게 시작할 수 있습니다.

체크포인트 + 앤서블

있다는 점도 참고하고 싶습니다. 책임감있는 모듈 CheckPoint API용. 이 모듈을 사용하면 구성을 관리할 수 있지만 이국적인 문제를 해결하는 데는 그리 편리하지 않습니다. 어떤 프로그래밍 언어로든 스크립트를 작성하면 더욱 유연하고 편리한 솔루션이 제공됩니다.

출력

여기서 Check Point API에 대한 간단한 검토를 마치겠습니다. 제 생각에는 이 기능이 매우 오랫동안 기다려 왔고 필요했던 기능이었습니다. API의 출현으로 Check Point 제품을 사용하는 시스템 관리자와 시스템 통합자 모두에게 매우 광범위한 기회가 열렸습니다. 오케스트레이션, 자동화, SIEM 피드백... 이제 모두 가능합니다.

PS에 대한 추가 기사 체크 포인트 언제나 그렇듯 저희 블로그에서 만나보실 수 있습니다 하브 르 아니면 블로그에서 온라인으로.

PSS Check Point 설정과 관련된 기술적인 질문이 있는 경우 다음을 수행할 수 있습니다. 여기에

등록된 사용자만 설문 조사에 참여할 수 있습니다. 로그인제발

API를 사용할 계획이신가요?

• 70,6%예12

• 23,5%4

• 5,9%이미 사용 중1

17명의 사용자가 투표했습니다. 3명의 사용자가 기권했습니다.

출처 : habr.com