🥇 Vienkāršojiet darbu ar Check Point API, izmantojot Python SDK

Pilns mijiedarbības spēks ar API tiek atklāts, ja to izmanto kopā ar programmas kodu, kad kļūst iespējams dinamiski ģenerēt API pieprasījumus un rīkus API atbilžu analīzei. Tomēr tas joprojām paliek nemanāms Python programmatūras izstrādes komplekts (turpmāk tekstā — Python SDK), kas paredzēta Check Point Management API, bet velti. Tas ievērojami vienkāršo izstrādātāju un automatizācijas entuziastu dzīvi. Python pēdējā laikā ir ieguvis milzīgu popularitāti, un es nolēmu aizpildīt robu un pārskatīt galvenās funkcijas. Check Point API Python izstrādes komplekts. Šis raksts kalpo kā lielisks papildinājums citam rakstam par Habré Check Point R80.10 API. Pārvaldība, izmantojot CLI, skriptus un daudz ko citu. Mēs apskatīsim, kā rakstīt skriptus, izmantojot Python SDK, un sīkāk aplūkosim jauno Management API funkcionalitāti versijā 1.6 (atbalstīta sākot no R80.40). Lai saprastu rakstu, jums būs nepieciešamas pamatzināšanas par darbu ar API un Python.

Check Point aktīvi izstrādā API, un šobrīd ir izlaistas:

Check Point Management API (pašreizējā versija 1.6) — darbs ar vadības serveri, izmantojot API (un iespēja izpildīt skriptus vārtejās, ko kontrolē vadības serveris)
Check Point GAIA API (pašreizējā versija 1.4) — darbs ar drošības vārtiem
Threat Prevention API 1.0 — darbs ar smilšu kasti Check Point mākonī
Identity Awareness API — darbs ar Identity Awareness asmeni vārtejās
Drošības pārvaldības portāla API — strādāt ar SMB vārtejas pārvaldības portālu (Vairāk par MVU vārtejām)
IoT API — mijiedarbība ar IoT kontrolieriem
CloudGuard Connect API - strādā ar CloudGuard Connect (SD-WAN drošības risinājums)
Dome9 API - strādā ar Dome9

Python SDK pašlaik atbalsta tikai mijiedarbību ar pārvaldības API un Gaia API. Šajā modulī mēs apskatīsim svarīgākās klases, metodes un mainīgos.

Moduļa uzstādīšana

Modulis cpapi ātri un vienkārši instalē no oficiālajā Check Point repozitorijā vietnē github via pip. Detalizētas uzstādīšanas instrukcijas ir pieejamas README.md. Šis modulis ir pielāgots darbam ar Python versijām 2.7 un 3.7. Šajā rakstā tiks sniegti piemēri, izmantojot Python 3.7. Tomēr Python SDK var palaist tieši no Check Point Management Server (Smart Management), taču tie atbalsta tikai Python 2.7, tāpēc pēdējā sadaļā tiks nodrošināts kods versijai 2.7. Uzreiz pēc moduļa instalēšanas iesaku apskatīt piemērus direktorijās examples_python2 и examples_python3.

Darba sākšana

Lai mēs varētu strādāt ar cpapi moduļa komponentiem, mums ir jāimportē no moduļa cpapi vismaz divas obligātās klases:

APIClient и APIClientArgs

from cpapi import APIClient, APIClientArgs

Klase APIClientArgs ir atbildīgs par savienojuma parametriem ar API serveri un klasi APIClient ir atbildīgs par mijiedarbību ar API.

Savienojuma parametru noteikšana

Lai definētu dažādus parametrus savienojumam ar API, jums ir jāizveido klases gadījums APIClientArgs. Principā tā parametri ir iepriekš definēti un, palaižot skriptu vadības serverī, tie nav jānorāda.

client_args = APIClientArgs()

Bet, darbojoties trešās puses resursdatorā, jums ir jānorāda vismaz API servera (pazīstams arī kā pārvaldības serveri) IP adrese vai resursdatora nosaukums. Tālāk esošajā piemērā mēs definējam servera savienojuma parametru un piešķiram tam pārvaldības servera IP adresi kā virkni.

client_args = APIClientArgs(server='192.168.47.241')

Apskatīsim visus parametrus un to noklusējuma vērtības, ko var izmantot, veidojot savienojumu ar API serveri:

APIClientArgs klases metodes __init__ argumenti

class APIClientArgs:
    """
    This class provides arguments for APIClient configuration.
    All the arguments are configured with their default values.
    """

    # port is set to None by default, but it gets replaced with 443 if not specified
    # context possible values - web_api (default) or gaia_api
    def __init__(self, port=None, fingerprint=None, sid=None, server="127.0.0.1", http_debug_level=0,
                 api_calls=None, debug_file="", proxy_host=None, proxy_port=8080,
                 api_version=None, unsafe=False, unsafe_auto_accept=False, context="web_api"):
        self.port = port
        # management server fingerprint
        self.fingerprint = fingerprint
        # session-id.
        self.sid = sid
        # management server name or IP-address
        self.server = server
        # debug level
        self.http_debug_level = http_debug_level
        # an array with all the api calls (for debug purposes)
        self.api_calls = api_calls if api_calls else []
        # name of debug file. If left empty, debug data will not be saved to disk.
        self.debug_file = debug_file
        # HTTP proxy server address (without "http://")
        self.proxy_host = proxy_host
        # HTTP proxy port
        self.proxy_port = proxy_port
        # Management server's API version
        self.api_version = api_version
        # Indicates that the client should not check the server's certificate
        self.unsafe = unsafe
        # Indicates that the client should automatically accept and save the server's certificate
        self.unsafe_auto_accept = unsafe_auto_accept
        # The context of using the client - defaults to web_api
        self.context = context

Es uzskatu, ka argumenti, ko var izmantot APIClientArgs klases gadījumos, ir intuitīvi Check Point administratoriem un tiem nav nepieciešami papildu komentāri.

Savienojuma izveide, izmantojot APIClient un konteksta pārvaldnieku

Klase APIClient Ērtākais veids, kā to izmantot, ir konteksta pārvaldnieks. Viss, kas jānodod APIClient klases instancē, ir savienojuma parametri, kas tika definēti iepriekšējā darbībā.

with APIClient(client_args) as client:

Konteksta pārvaldnieks automātiski neveiks pieteikšanās zvanu API serverim, taču, izejot no tā, tas veiks atteikšanās zvanu. Ja pēc darba ar API izsaukumiem kāda iemesla dēļ atteikšanās nav nepieciešama, jāsāk strādāt, neizmantojot konteksta pārvaldnieku:

client = APIClient(clieng_args)

Savienojuma pārbaude

Vienkāršākais veids, kā pārbaudīt, vai savienojums atbilst norādītajiem parametriem, ir izmantot šo metodi pārbaudīt_pirkstu nospiedumu. Ja servera API sertifikāta pirksta nospieduma sha1 jaucējsummas pārbaude neizdodas (atgrieztā metode Nepatiess), tad to parasti izraisa savienojuma problēmas un mēs varam apturēt programmas izpildi (vai dot lietotājam iespēju labot savienojuma datus):

    if client.check_fingerprint() is False:
        print("Could not get the server's fingerprint - Check connectivity with the server.")
        exit(1)

Lūdzu, ņemiet vērā, ka turpmāk klasē APIClient pārbaudīs katru API zvanu (metodes api_call и api_query, mēs par tiem runāsim nedaudz tālāk) sha1 pirkstu nospiedumu sertifikāts API serverī. Bet, ja, pārbaudot API servera sertifikāta sha1 pirksta nospiedumu, tiek konstatēta kļūda (sertifikāts nav zināms vai ir mainīts), metode pārbaudīt_pirkstu nospiedumu nodrošinās iespēju automātiski pievienot/mainīt informāciju par to lokālajā mašīnā. Šo pārbaudi var pilnībā atspējot (bet to var ieteikt tikai tad, ja skripti tiek palaisti pašā API serverī, kad tiek izveidots savienojums ar 127.0.0.1), izmantojot APIClientArgs argumentu - unsafe_auto_accept (vairāk par APIClientArgs skatiet sadaļā “Savienojuma parametru definēšana”).

client_args = APIClientArgs(unsafe_auto_accept=True)

Piesakieties API serverī

У APIClient ir 3 metodes, lai pieteiktos API serverī, un katra no tām saprot nozīmi sid(session-id), kas tiek automātiski izmantots katrā nākamajā API izsaukumā galvenē (nosaukums šī parametra galvenē ir X-chkp-sid), tāpēc šis parametrs nav jāapstrādā tālāk.

pieteikšanās metode

Opcija, izmantojot pieteikumvārdu un paroli (piemērā lietotājvārds admin un parole 1q2w3e tiek nodoti kā pozicionālie argumenti):

     login = client.login('admin', '1q2w3e')

Pieteikšanās metodē ir pieejami arī papildu izvēles parametri; šeit ir to nosaukumi un noklusējuma vērtības:

continue_last_session=False, domain=None, read_only=False, payload=None

Pieteikšanās_ar_api_key metodi

Opcija, izmantojot api atslēgu (tiek atbalstīta, sākot no pārvaldības versijas R80.40/Management API v1.6, "3TsbPJ8ZKjaJGvFyoFqHFA==" šī ir API atslēgas vērtība vienam no lietotājiem pārvaldības serverī ar API atslēgas autorizācijas metodi):

     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')

Metodē login_with_api_key ir pieejami tie paši izvēles parametri kā metodē Pieslēgties.

login_as_root metode

Iespēja pieteikties vietējā mašīnā ar API serveri:

     login = client.login_as_root()

Šai metodei ir pieejami tikai divi izvēles parametri:

domain=None, payload=None

Un visbeidzot API izsauc sevi

Mums ir divas iespējas veikt API zvanus, izmantojot metodes api_call и api_query. Noskaidrosim, kāda ir atšķirība starp tām.

api_call

Šī metode ir piemērota visiem zvaniem. Vajadzības gadījumā mums ir jānodod pēdējā API izsaukuma daļa un lietderīgā slodze pieprasījuma pamattekstā. Ja krava ir tukša, to vispār nevar pārsūtīt:

api_versions = client.api_call('show-api-versions')

Šī pieprasījuma izvade zem griezuma:

In [23]: api_versions                                                           
Out[23]: 
APIResponse({
    "data": {
        "current-version": "1.6",
        "supported-versions": [
            "1",
            "1.1",
            "1.2",
            "1.3",
            "1.4",
            "1.5",
            "1.6"
        ]
    },
    "res_obj": {
        "data": {
            "current-version": "1.6",
            "supported-versions": [
                "1",
                "1.1",
                "1.2",
                "1.3",
                "1.4",
                "1.5",
                "1.6"
            ]
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

show_host = client.api_call('show-host', {'name' : 'h_8.8.8.8'})

Šī pieprasījuma izvade zem griezuma:

In [25]: show_host                                                              
Out[25]: 
APIResponse({
    "data": {
        "color": "black",
        "comments": "",
        "domain": {
            "domain-type": "domain",
            "name": "SMC User",
            "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
        },
        "groups": [],
        "icon": "Objects/host",
        "interfaces": [],
        "ipv4-address": "8.8.8.8",
        "meta-info": {
            "creation-time": {
                "iso-8601": "2020-05-01T21:49+0300",
                "posix": 1588358973517
            },
            "creator": "admin",
            "last-modifier": "admin",
            "last-modify-time": {
                "iso-8601": "2020-05-01T21:49+0300",
                "posix": 1588358973517
            },
            "lock": "unlocked",
            "validation-state": "ok"
        },
        "name": "h_8.8.8.8",
        "nat-settings": {
            "auto-rule": false
        },
        "read-only": false,
        "tags": [],
        "type": "host",
        "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
    },
    "res_obj": {
        "data": {
            "color": "black",
            "comments": "",
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "groups": [],
            "icon": "Objects/host",
            "interfaces": [],
            "ipv4-address": "8.8.8.8",
            "meta-info": {
                "creation-time": {
                    "iso-8601": "2020-05-01T21:49+0300",
                    "posix": 1588358973517
                },
                "creator": "admin",
                "last-modifier": "admin",
                "last-modify-time": {
                    "iso-8601": "2020-05-01T21:49+0300",
                    "posix": 1588358973517
                },
                "lock": "unlocked",
                "validation-state": "ok"
            },
            "name": "h_8.8.8.8",
            "nat-settings": {
                "auto-rule": false
            },
            "read-only": false,
            "tags": [],
            "type": "host",
            "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

api_query

Ļaujiet man uzreiz izdarīt atrunu, ka šī metode ir piemērojama tikai zvaniem, kuru izvade ir saistīta ar nobīdi. Šāds secinājums rodas, ja tas satur vai var saturēt lielu informācijas daudzumu. Piemēram, tas varētu būt pieprasījums pēc visu izveidoto saimniekdatora objektu saraksta pārvaldības serverī. Šādiem pieprasījumiem API pēc noklusējuma atgriež sarakstu ar 50 objektiem (atbildē varat palielināt ierobežojumu līdz 500 objektiem). Un, lai informācija netiktu izvilkta vairākas reizes, mainot nobīdes parametru API pieprasījumā, ir api_query metode, kas to veic automātiski. Zvanu piemēri, kur šī metode ir nepieciešama: raidījumu sesijas, raidījumu vadītāji, šovu tīkli, rādīšanas aizstājējzīmes, šovu grupas, rādīšanas adrešu diapazoni, vienkāršās demonstrēšanas vārtejas, vienkāršās demonstrēšanas kopas, raidījumu piekļuves lomas, uzticamo klientu demonstrēšana, šovu paketes. Faktiski šo API izsaukumu nosaukumos redzami vārdi daudzskaitļa formā, tāpēc šos zvanus būs vieglāk apstrādāt api_query

show_hosts = client.api_query('show-hosts')

Šī pieprasījuma izvade zem griezuma:

In [21]: show_hosts                                                             
Out[21]: 
APIResponse({
    "data": [
        {
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "ipv4-address": "192.168.47.1",
            "name": "h_192.168.47.1",
            "type": "host",
            "uid": "5d7d7086-d70b-4995-971a-0583b15a2bfc"
        },
        {
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "ipv4-address": "8.8.8.8",
            "name": "h_8.8.8.8",
            "type": "host",
            "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
        }
    ],
    "res_obj": {
        "data": {
            "from": 1,
            "objects": [
                {
                    "domain": {
                        "domain-type": "domain",
                        "name": "SMC User",
                        "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
                    },
                    "ipv4-address": "192.168.47.1",
                    "name": "h_192.168.47.1",
                    "type": "host",
                    "uid": "5d7d7086-d70b-4995-971a-0583b15a2bfc"
                },
                {
                    "domain": {
                        "domain-type": "domain",
                        "name": "SMC User",
                        "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
                    },
                    "ipv4-address": "8.8.8.8",
                    "name": "h_8.8.8.8",
                    "type": "host",
                    "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
                }
            ],
            "to": 2,
            "total": 2
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

API zvanu rezultātu apstrāde

Pēc tam varat izmantot klases mainīgos un metodes APIResponse(gan konteksta pārvaldniekā, gan ārpus tā). Klasē APIResponse Ir iepriekš definētas 4 metodes un 5 mainīgie, pie svarīgākajām mēs pakavēsimies sīkāk.

veiksme

Vispirms būtu ieteicams pārliecināties, vai API izsaukums bija veiksmīgs un atgrieza rezultātu. Tam ir metode veiksme:

In [49]: api_versions.success                                                   
Out[49]: True

Atgriež True, ja API izsaukums bija veiksmīgs (atbildes kods — 200), un False, ja tas nav veiksmīgs (jebkurš cits atbildes kods). To ir ērti lietot uzreiz pēc API izsaukuma, lai parādītu dažādu informāciju atkarībā no atbildes koda.

if api_ver.success: 
    print(api_versions.data) 
else: 
    print(api_versions.err_message)

statusa kods

Atgriež atbildes kodu pēc API izsaukuma.

In [62]: api_versions.status_code                                               
Out[62]: 400

Iespējamie atbildes kodi: 200,400,401,403,404,409,500,501.

set_success_status

Šādā gadījumā var būt nepieciešams mainīt veiksmes statusa vērtību. Tehniski tur var likt jebko, pat parastu virkni. Taču reāls piemērs varētu būt šī parametra atiestatīšana uz False noteiktos papildu apstākļos. Tālāk pievērsiet uzmanību piemēram, kad pārvaldības serverī darbojas uzdevumi, taču mēs uzskatīsim šo pieprasījumu par neveiksmīgu (veiksmes mainīgo iestatīsim uz Nepatiess, neskatoties uz to, ka API izsaukums bija veiksmīgs un atgrieza kodu 200).

for task in task_result.data["tasks"]:
    if task["status"] == "failed" or task["status"] == "partially succeeded":
        task_result.set_success_status(False)
        break

atbilde ()

Atbildes metode ļauj skatīt vārdnīcu ar atbildes kodu (statusa_kods) un atbildes pamattekstu (body).

In [94]: api_versions.response()                                                
Out[94]: 
{'status_code': 200,
 'data': {'current-version': '1.6',
  'supported-versions': ['1', '1.1', '1.2', '1.3', '1.4', '1.5', '1.6']}}

dati

Ļauj redzēt tikai atbildes pamattekstu (ķermeni) bez liekas informācijas.

In [93]: api_versions.data                                                      
Out[93]: 
{'current-version': '1.6',
 'supported-versions': ['1', '1.1', '1.2', '1.3', '1.4', '1.5', '1.6']}

kļūdas ziņojums

Šī informācija ir pieejama tikai tad, ja API pieprasījuma apstrādes laikā radās kļūda (atbildes kods nē 200). Izvades piemērs

In [107]: api_versions.error_message                                            
Out[107]: 'code: generic_err_invalid_parameter_namenmessage: Unrecognized parameter [1]n'

Noderīgi piemēri

Tālāk ir sniegti piemēri, kuros tiek izmantoti API izsaukumi, kas tika pievienoti pārvaldības API 1.6.

Vispirms apskatīsim, kā darbojas zvani pievienošanas resursdators и add-adrešu diapazons. Pieņemsim, ka mums ir jāizveido visas apakštīkla 192.168.0.0/24 IP adreses, kuru pēdējais oktets ir 5, kā resursdatora tipa objekti un visas pārējās IP adreses jāraksta kā adrešu diapazona tipa objekti. Šādā gadījumā izslēdziet apakštīkla adresi un apraides adresi.

Tātad, zemāk ir skripts, kas atrisina šo problēmu un izveido 50 resursdatora tipa objektus un 51 objektu adreses diapazona tipa. Lai atrisinātu problēmu, ir nepieciešams 101 API izsaukums (neņemot vērā galīgo publicēšanas zvanu). Tāpat, izmantojot timeit moduli, mēs aprēķinām laiku, kas nepieciešams skripta izpildei līdz izmaiņu publicēšanai.

Skripts, izmantojot add-host un add-address-range

import timeit
from cpapi import APIClient, APIClientArgs

start = timeit.default_timer()

first_ip = 1
last_ip = 4

client_args = APIClientArgs(server="192.168.47.240")

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     for ip in range(5,255,5):
         add_host = client.api_call("add-host", {"name" : f"h_192.168.0.{ip}", "ip-address": f'192.168.0.{ip}'})
     while last_ip < 255:
         add_range = client.api_call("add-address-range", {"name": f"r_192.168.0.{first_ip}-{last_ip}", "ip-address-first": f"192.168.0.{first_ip}", "ip-address-last": f"192.168.0.{last_ip}"})
         first_ip+=5
         last_ip+=5
     stop = timeit.default_timer() 
     publish = client.api_call("publish")
     
print(f'Time to execute batch request: {stop - start} seconds')

Manā laboratorijas vidē šī skripta izpilde aizņem no 30 līdz 50 sekundēm atkarībā no pārvaldības servera slodzes.

Tagad redzēsim, kā atrisināt to pašu problēmu, izmantojot API zvanu pievieno-objekti-partija, kuras atbalsts tika pievienots API versijā 1.6. Šis izsaukums ļauj vienā API pieprasījumā vienlaikus izveidot vairākus objektus. Turklāt tie var būt dažāda veida objekti (piemēram, resursdatori, apakštīkli un adrešu diapazoni). Tādējādi mūsu uzdevumu var atrisināt viena API izsaukuma ietvaros.

Skripts, izmantojot add-objects-batch

import timeit
from cpapi import APIClient, APIClientArgs

start = timeit.default_timer()

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip = []
objects_list_range = []

for ip in range(5,255,5):
    data = {"name": f'h_192.168.0.{ip}', "ip-address": f'192.168.0.{ip}'}
    objects_list_ip.append(data)
    
first_ip = 1
last_ip = 4


while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "ip-address-first": f"192.168.0.{first_ip}", "ip-address-last": f"192.168.0.{last_ip}"}
    objects_list_range.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip
}, {
    "type" : "address-range",
    "list" : objects_list_range
  }]
}


with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     add_objects_batch = client.api_call("add-objects-batch", data_for_batch)
     stop = timeit.default_timer() 
     publish = client.api_call("publish")
     
print(f'Time to execute batch request: {stop - start} seconds')

Un šī skripta palaišana manā laboratorijas vidē aizņem no 3 līdz 7 sekundēm atkarībā no pārvaldības servera slodzes. Tas nozīmē, ka vidēji 101 API objektā pakešu veida izsaukums darbojas 10 reizes ātrāk. Lielākam objektu skaitam atšķirība būs vēl iespaidīgāka.

Tagad redzēsim, kā strādāt ar set-objects-batch. Izmantojot šo API izsaukumu, mēs varam lielapjoma mainīt jebkuru parametru. Iestatīsim adrešu pirmo pusi no iepriekšējā piemēra (līdz .124 saimniekiem un arī diapazoniem) uz krāsu sienna un piešķirsim haki krāsu adrešu otrajai pusei.

Iepriekšējā piemērā izveidoto objektu krāsas maiņa

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip_first = []
objects_list_range_first = []
objects_list_ip_second = []
objects_list_range_second = []

for ip in range(5,125,5):
    data = {"name": f'h_192.168.0.{ip}', "color": "sienna"}
    objects_list_ip_first.append(data)
    
for ip in range(125,255,5):
    data = {"name": f'h_192.168.0.{ip}', "color": "khaki"}
    objects_list_ip_second.append(data)
    
first_ip = 1
last_ip = 4
while last_ip < 125:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "color": "sienna"}
    objects_list_range_first.append(data)
    first_ip+=5
    last_ip+=5
    
while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "color": "khaki"}
    objects_list_range_second.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch_first  = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip_first
}, {
    "type" : "address-range",
    "list" : objects_list_range_first
  }]
}

data_for_batch_second  = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip_second
}, {
    "type" : "address-range",
    "list" : objects_list_range_second
  }]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==') 
     set_objects_batch_first = client.api_call("set-objects-batch", data_for_batch_first)
     set_objects_batch_second = client.api_call("set-objects-batch", data_for_batch_second)
     publish = client.api_call("publish")

Varat dzēst vairākus objektus vienā API izsaukumā, izmantojot delete-objects-batch. Tagad apskatīsim koda piemēru, kas dzēš visus saimniekdatorus, kas iepriekš izveidoti, izmantojot pievieno-objekti-partija.

Objektu dzēšana, izmantojot delete-objects-batch

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip = []
objects_list_range = []

for ip in range(5,255,5):
    data = {"name": f'h_192.168.0.{ip}'}
    objects_list_ip.append(data)

first_ip = 1
last_ip = 4
while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}"}
    objects_list_range.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip
}, {
    "type" : "address-range",
    "list" : objects_list_range
  }]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     delete_objects_batch = client.api_call("delete-objects-batch", data_for_batch)
     publish = client.api_call("publish")

print(delete_objects_batch.data)

Visas funkcijas, kas parādās jaunajos Check Point programmatūras laidienos, nekavējoties iegūst API izsaukumus. Tādējādi R80.40 parādījās tādas “funkcijas” kā Revert to revision un Smart Task, un tām nekavējoties tika sagatavoti atbilstoši API izsaukumi. Turklāt visas funkcionalitātes, pārejot no mantotajām konsolēm uz vienotās politikas režīmu, iegūst arī API atbalstu. Piemēram, programmatūras versijas R80.40 ilgi gaidītais atjauninājums bija HTTPS pārbaudes politikas pārvietošana no mantotā režīma uz vienotās politikas režīmu, un šī funkcionalitāte nekavējoties saņēma API zvanus. Tālāk ir sniegts koda piemērs, kas HTTPS pārbaudes politikas augšējai pozīcijai pievieno kārtulu, kas no pārbaudēm izslēdz 3 kategorijas (veselības, finanšu, valdības pakalpojumus), kurām saskaņā ar likumu vairākās valstīs ir aizliegts pārbaudīt.

Pievienojiet kārtulu HTTPS pārbaudes politikai

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

data = {
  "layer" : "Default Layer",
  "position" : "top",
  "name" : "Legal Requirements",
  "action": "bypass",
  "site-category": ["Health", "Government / Military", "Financial Services"]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     add_https_rule = client.api_call("add-https-rule", data)
     publish = client.api_call("publish")

Python skriptu palaišana Check Point pārvaldības serverī

Viss ir vienāds README.md satur informāciju par to, kā palaist Python skriptus tieši no vadības servera. Tas var būt ērti, ja nevarat izveidot savienojumu ar API serveri no citas iekārtas. Es ierakstīju sešu minūšu video, kurā aplūkoju moduļa instalēšanu cpapi un Python skriptu palaišanas funkcijas vadības serverī. Piemēram, tiek palaists skripts, kas automatizē jaunas vārtejas konfigurēšanu uzdevumam, piemēram, tīkla auditēšanai. Drošības pārbaude. Starp funkcijām, ar kurām man bija jātiek galā: funkcija Python 2.7 vēl nav parādījusies ievade, lai apstrādātu lietotāja ievadīto informāciju, tiek izmantota funkcija raw_input. Citādi kods ir tāds pats kā palaišanai no citām mašīnām, tikai ērtāk izmantot funkciju login_as_root, lai vēlreiz nenorādītu savu lietotājvārdu, paroli un pārvaldības servera IP adresi.

Skripts drošības pārbaudes ātrai iestatīšanai

from __future__ import print_function
import getpass
import sys, os
sys.path.append(os.path.abspath(os.path.join(os.path.dirname(__file__), '..')))
from cpapi import APIClient, APIClientArgs

def main():
    with APIClient() as client:
       # if client.check_fingerprint() is False:
       #     print("Could not get the server's fingerprint - Check connectivity with the server.")
       #     exit(1)
        login_res = client.login_as_root()

        if login_res.success is False:
            print("Login failed:n{}".format(login_res.error_message))
            exit(1)

        gw_name = raw_input("Enter the gateway name:")
        gw_ip = raw_input("Enter the gateway IP address:")
        if sys.stdin.isatty():
            sic = getpass.getpass("Enter one-time password for the gateway(SIC): ")
        else:
            print("Attention! Your password will be shown on the screen!")
            sic = raw_input("Enter one-time password for the gateway(SIC): ")
        version = raw_input("Enter the gateway version(like RXX.YY):")
        add_gw = client.api_call("add-simple-gateway", {'name' : gw_name, 'ipv4-address' : gw_ip, 'one-time-password' : sic, 'version': version.capitalize(), 'application-control' : 'true', 'url-filtering' : 'true', 'ips' : 'true', 'anti-bot' : 'true', 'anti-virus' : 'true', 'threat-emulation' : 'true'})
        if add_gw.success and add_gw.data['sic-state'] != "communicating":
            print("Secure connection with the gateway hasn't established!")
            exit(1)
        elif add_gw.success:
            print("The gateway was added successfully.")
            gw_uid = add_gw.data['uid']
            gw_name = add_gw.data['name']
        else:
            print("Failed to add the gateway - {}".format(add_gw.error_message))
            exit(1)

        change_policy = client.api_call("set-access-layer", {"name" : "Network", "applications-and-url-filtering": "true", "content-awareness": "true"})
        if change_policy.success:
            print("The policy has been changed successfully")
        else:
            print("Failed to change the policy- {}".format(change_policy.error_message))
        change_rule = client.api_call("set-access-rule", {"name" : "Cleanup rule", "layer" : "Network", "action": "Accept", "track": {"type": "Detailed Log", "accounting": "true"}})
        if change_rule.success:
            print("The cleanup rule has been changed successfully")
        else:
            print("Failed to change the cleanup rule- {}".format(change_rule.error_message))

        # publish the result
        publish_res = client.api_call("publish", {})
        if publish_res.success:
            print("The changes were published successfully.")
        else:
                print("Failed to publish the changes - {}".format(install_tp_policy.error_message))

        install_access_policy = client.api_call("install-policy", {"policy-package" : "Standard", "access" : 'true',  "threat-prevention" : 'false', "targets" : gw_uid})
        if install_access_policy.success:
            print("The access policy has been installed")
        else:
                print("Failed to install access policy - {}".format(install_tp_policy.error_message))

        install_tp_policy = client.api_call("install-policy", {"policy-package" : "Standard", "access" : 'false',  "threat-prevention" : 'true', "targets" : gw_uid})
        if install_tp_policy.success:
            print("The threat prevention policy has been installed")
        else:
            print("Failed to install threat prevention policy - {}".format(install_tp_policy.error_message))
        
        # add passwords and passphrases to dictionary
        with open('additional_pass.conf') as f:
            line_num = 0
            for line in f:
                line_num += 1
                add_password_dictionary = client.api_call("run-script", {"script-name" : "Add passwords and passphrases", "script" : "printf "{}" >> $FWDIR/conf/additional_pass.conf".format(line), "targets" : gw_name})
                if add_password_dictionary.success:
                    print("The password dictionary line {} was added successfully".format(line_num))
                else:
                    print("Failed to add the dictionary - {}".format(add_password_dictionary.error_message))

main()

Piemērs failam ar paroles vārdnīcu Additional_pass.conf
{ "passwords" : ["malware","malicious","infected","Infected"], "phrases" : ["password","Password","Pass","pass","codigo","key","pwd","пароль","Пароль","Ключ","ключ","шифр","Шифр"] }

Secinājums

Šajā rakstā aplūkotas tikai darba pamatiespējas Python SDK un modulis cpapi(kā jau varēja uzminēt, tie patiesībā ir sinonīmi), un, izpētot kodu šajā modulī, jūs atklāsiet vēl vairāk iespēju strādāt ar to. Iespējams, vēlēsities to papildināt ar savām klasēm, funkcijām, metodēm un mainīgajiem. Sadaļā vienmēr varat kopīgot savus darbus un skatīt citus Check Point skriptus CodeHub sabiedrībā CheckMates, kas apvieno gan produktu izstrādātājus, gan lietotājus.

Laimīgu kodēšanu un paldies, ka izlasījāt līdz beigām!

Avots: www.habr.com

Check Point API vienkāršošana, izmantojot Python SDK

Moduļa uzstādīšana

Darba sākšana

Savienojuma parametru noteikšana

Savienojuma izveide, izmantojot APIClient un konteksta pārvaldnieku

Savienojuma pārbaude

Piesakieties API serverī

pieteikšanās metode

Pieteikšanās_ar_api_key metodi

login_as_root metode

Un visbeidzot API izsauc sevi

api_call

api_query

API zvanu rezultātu apstrāde

veiksme

statusa kods

set_success_status

atbilde ()

dati

kļūdas ziņojums

Noderīgi piemēri

Python skriptu palaišana Check Point pārvaldības serverī

Secinājums

Pievieno komentāru Atcelt atbildi