Спрощуємо роботу з Check Point API за допомогою Python SDK

Вся потужність взаємодії з API розкривається при спільному використанні з програмним кодом, коли з'являються можливості динамічно формувати запити API і інструменти для аналізу API відповідей. Проте, малопомітним досі залишається Комплект розробки програмного забезпечення Python (далі - Python SDK) для Check Point Management API, а даремно. Він відчутно спрощує життя розробникам та аматорам автоматизації. Python набув величезної популярності останнім часом і я вирішив усунути прогалину і зробити огляд основних можливостей Check Point API Python Development Kit. Ця стаття є чудовим доповненням іншої статті на Хабре Check Point R80.10 API. Управління через CLI, скрипти і не тільки. Ми розглянемо як написати скрипти з використанням Python SDK і зупинимося докладніше на новому функціоналі Management API у версії 1.6 (підтримується починаючи з R80.40). Для розуміння статті знадобляться базові знання з роботи з API та Python.

Check Point активно розвиває API і зараз на світ з'явилися:

• Check Point Management API (поточна версія 1.6) - Робота з сервером управління через API (і можливість виконувати скрипти на шлюзах під управлінням сервера управління)
• Check Point GAIA API (поточна версія 1.4) - робота зі шлюзами безпеки
• Threat Prevention API 1.0 - робота з пісочницею у хмарі Check Point
• Identity Awareness API - робота з Identity Awareness blade на шлюзах
• Security Management Portal API - Робота з порталом управління SMB шлюзами (Докладніше про SMB шлюзи)
• IoT API - взаємодія з IoT контролерами
• CloudGuard Connect API - робота з CloudGuard Connect (Рішення SD-WAN security)
• Dome9 API - робота з Купол9

Python SDK на даний момент підтримує взаємодію тільки з Management API та Gaia API. Ми розглянемо найважливіші класи, методи та змінні в даному модулі.

Встановлення модуля

модуль cpapi встановлюється швидко і просто з офіційного репозитарію Check Point на github за допомогою типун. Детальна інструкція по встановленню є в README.md. Цей модуль адаптований для роботи з версіями Python 2.7 та 3.7. У цій статті приклади будуть наведені за допомогою Python 3.7. Однак Python SDK можна запускати прямо з сервера керування Check Point (Smart Management), але на них підтримується тільки версія Python 2.7, тому в останньому розділі буде наведено код для версії 2.7. Відразу після встановлення модуля рекомендую подивитися на приклади в директоріях examples_python2 и examples_python3.

Початок роботи

Для того щоб у нас з'явилася можливість працювати з компонентами модуля cpapi необхідно імпортувати з модуля cpapi як мінімум два необхідні класи:

APIClient и APIClientArgs

from cpapi import APIClient, APIClientArgs

Клас APIClientArgs відповідає за параметри підключення до API сервера, а клас APIClient відповідає за взаємодію з API.

Визначаємо параметри підключення

Щоб визначити різні параметри підключення до API, потрібно створити екземпляр класу APIClientArgs. В принципі, його параметри визначені і при запуску скрипта на сервері управління їх можна не вказувати.

client_args = APIClientArgs()

Але при запуску на сторонньому хості потрібно вказати як мінімум IP адресу або ім'я хоста API сервера (він сервер керування). У наведеному нижче прикладі ми визначаємо параметр підключення server і присвоюємо йому у вигляді рядка IP адресу сервера управління.

client_args = APIClientArgs(server='192.168.47.241')

Давайте подивимося на всі параметри та їх значення за промовчанням, які можна використовувати при підключенні до сервера API:

Аргументи методу __init__ класу APIClientArgs

class APIClientArgs:
    """
    This class provides arguments for APIClient configuration.
    All the arguments are configured with their default values.
    """

    # port is set to None by default, but it gets replaced with 443 if not specified
    # context possible values - web_api (default) or gaia_api
    def __init__(self, port=None, fingerprint=None, sid=None, server="127.0.0.1", http_debug_level=0,
                 api_calls=None, debug_file="", proxy_host=None, proxy_port=8080,
                 api_version=None, unsafe=False, unsafe_auto_accept=False, context="web_api"):
        self.port = port
        # management server fingerprint
        self.fingerprint = fingerprint
        # session-id.
        self.sid = sid
        # management server name or IP-address
        self.server = server
        # debug level
        self.http_debug_level = http_debug_level
        # an array with all the api calls (for debug purposes)
        self.api_calls = api_calls if api_calls else []
        # name of debug file. If left empty, debug data will not be saved to disk.
        self.debug_file = debug_file
        # HTTP proxy server address (without "http://")
        self.proxy_host = proxy_host
        # HTTP proxy port
        self.proxy_port = proxy_port
        # Management server's API version
        self.api_version = api_version
        # Indicates that the client should not check the server's certificate
        self.unsafe = unsafe
        # Indicates that the client should automatically accept and save the server's certificate
        self.unsafe_auto_accept = unsafe_auto_accept
        # The context of using the client - defaults to web_api
        self.context = context

Вважаю, що аргументи, які можна використовувати в екземплярах класу APIClientArgs, інтуїтивно зрозумілі адміністраторам Check Point і додаткових коментарів не потребують.

Підключаємося через APIClient та менеджер контексту

Клас APIClient Найзручніше використовувати через менеджер контексту. Все, що потрібно передати екземпляру класу APIClient, це параметри підключення, які були визначені в минулому кроці.

with APIClient(client_args) as client:

Менеджер контексту не буде виконувати автоматично login виклик на сервер API, однак він виконає виклик logout при виході з нього. Якщо з якихось причин logout після закінчення роботи з API викликами не потрібно, потрібно розпочати роботу без використання менеджера контексту:

client = APIClient(clieng_args)

Перевірка з'єднання

Перевірити чи проходить з'єднання за заданими параметрами найпростіше за допомогою методу check_fingerprint. Якщо перевірка хеш-суми sha1 для fingerprint сертифіката API сервера не пройшла (метод повернув Помилковий), то зазвичай це викликано проблемами зі з'єднанням і ми можемо зупинити виконання програми (або дати користувачеві можливість виправити дані для підключення):

    if client.check_fingerprint() is False:
        print("Could not get the server's fingerprint - Check connectivity with the server.")
        exit(1)

Врахуйте, що надалі клас APIClient буде перевіряти при кожному API виклику (методи api_call и api_query, Про них мова піде трохи далі) sha1 fingerprint сертифіката на API сервері. А ось якщо під час перевірки sha1 fingerprint сертифіката API сервера буде виявлено помилку (сертифікат невідомий або був змінений), метод check_fingerprint надасть можливість додати/змінити інформацію про нього на локальній машині в автоматичному режимі. Дану перевірку можна відключити зовсім (але таке можна рекомендувати лише у разі запуску скриптів на самому API сервері, при підключенні до 127.0.0.1), використовуючи аргумент APIClientArgs — unsafe_auto_accept (Див. докладніше для APIClientArgs раніше в «Визначаємо параметри підключення»).

client_args = APIClientArgs(unsafe_auto_accept=True)

Login на сервер API

У APIClient є цілих 3 методи логіну на API сервер, і кожен із них розуміє значення SID(session-id), яке використовує автоматично в кожному наступному API виклику в заголовку (ім'я в заголовку цього параметра — X-chkp-sid), так що не потрібно додатково обробляти цей параметр.

Метод login

Варіант з використанням логіну та пароля (у прикладі ім'я користувача admin та пароль 1q2w3e передані як позиційні аргументи):

     login = client.login('admin', '1q2w3e')  

У методі login доступні також додаткові опціональні параметри, наводжу їх імена та значення за промовчанням:

continue_last_session=False, domain=None, read_only=False, payload=None

Метод login_with_api_key

Варіант із використанням api ключа (підтримується починаючи з версії менеджменту R80.40/Management API v1.6, "3TsbPJ8ZKjaJGvFyoFqHFA==" це значення ключа API для одного користувача на сервері управління з методом авторизації API key):

     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==') 

У методі login_with_api_key доступні такі ж опціональні параметри, як і в методі Логін.

Метод login_as_root

Варіант login'а на локальну машину з сервером API:

     login = client.login_as_root()

Для даного методу доступні лише два опціональні параметри:

domain=None, payload=None

І нарешті самі API виклики

У нас є два варіанти робити API виклики через методи api_call и api_query. Давайте розберемося, в чому між ними різниця.

api_call

Цей метод можна застосувати для будь-яких викликів. Нам потрібно передати останню частину для api дзвінка та payload в тілі запиту при необхідності. Якщо плата порожня, то її можна не передавати зовсім:

api_versions = client.api_call('show-api-versions') 

Висновок для цього запиту під катом:

In [23]: api_versions                                                           
Out[23]: 
APIResponse({
    "data": {
        "current-version": "1.6",
        "supported-versions": [
            "1",
            "1.1",
            "1.2",
            "1.3",
            "1.4",
            "1.5",
            "1.6"
        ]
    },
    "res_obj": {
        "data": {
            "current-version": "1.6",
            "supported-versions": [
                "1",
                "1.1",
                "1.2",
                "1.3",
                "1.4",
                "1.5",
                "1.6"
            ]
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

show_host = client.api_call('show-host', {'name' : 'h_8.8.8.8'})

Висновок для цього запиту під катом:

In [25]: show_host                                                              
Out[25]: 
APIResponse({
    "data": {
        "color": "black",
        "comments": "",
        "domain": {
            "domain-type": "domain",
            "name": "SMC User",
            "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
        },
        "groups": [],
        "icon": "Objects/host",
        "interfaces": [],
        "ipv4-address": "8.8.8.8",
        "meta-info": {
            "creation-time": {
                "iso-8601": "2020-05-01T21:49+0300",
                "posix": 1588358973517
            },
            "creator": "admin",
            "last-modifier": "admin",
            "last-modify-time": {
                "iso-8601": "2020-05-01T21:49+0300",
                "posix": 1588358973517
            },
            "lock": "unlocked",
            "validation-state": "ok"
        },
        "name": "h_8.8.8.8",
        "nat-settings": {
            "auto-rule": false
        },
        "read-only": false,
        "tags": [],
        "type": "host",
        "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
    },
    "res_obj": {
        "data": {
            "color": "black",
            "comments": "",
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "groups": [],
            "icon": "Objects/host",
            "interfaces": [],
            "ipv4-address": "8.8.8.8",
            "meta-info": {
                "creation-time": {
                    "iso-8601": "2020-05-01T21:49+0300",
                    "posix": 1588358973517
                },
                "creator": "admin",
                "last-modifier": "admin",
                "last-modify-time": {
                    "iso-8601": "2020-05-01T21:49+0300",
                    "posix": 1588358973517
                },
                "lock": "unlocked",
                "validation-state": "ok"
            },
            "name": "h_8.8.8.8",
            "nat-settings": {
                "auto-rule": false
            },
            "read-only": false,
            "tags": [],
            "type": "host",
            "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

api_query

Відразу зазначу, що даний метод застосовується тільки для викликів, виведення яких передбачає offset (зсув). Такий висновок відбувається в тому випадку, коли в ньому міститься або може містити велику кількість інформації. Наприклад, це може бути запит списку всіх створених об'єктів типу хост на сервері керування. Для таких запитів API повертає список із 50 об'єктів за промовчанням (можна збільшити ліміт до 500 об'єктів у відповіді). І для того, щоб не смикати інформацію по кілька разів, змінюючи параметр offset в запиті API, є метод api_query, який цю роботу робить автоматично. Приклади викликів, де потрібен цей метод: show-sessions, show-hosts, show-networks, show-wildcards, show-groups, show-address-ranges, show-simple-gateways, show-simple-clusters, show-access-roles, show-trusted-clients, show-packages. По факту, в імені цих API викликів ми бачимо слова у множині, так що ці виклики буде простіше обробляти через api_query

show_hosts = client.api_query('show-hosts') 

Висновок для цього запиту під катом:

In [21]: show_hosts                                                             
Out[21]: 
APIResponse({
    "data": [
        {
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "ipv4-address": "192.168.47.1",
            "name": "h_192.168.47.1",
            "type": "host",
            "uid": "5d7d7086-d70b-4995-971a-0583b15a2bfc"
        },
        {
            "domain": {
                "domain-type": "domain",
                "name": "SMC User",
                "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
            },
            "ipv4-address": "8.8.8.8",
            "name": "h_8.8.8.8",
            "type": "host",
            "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
        }
    ],
    "res_obj": {
        "data": {
            "from": 1,
            "objects": [
                {
                    "domain": {
                        "domain-type": "domain",
                        "name": "SMC User",
                        "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
                    },
                    "ipv4-address": "192.168.47.1",
                    "name": "h_192.168.47.1",
                    "type": "host",
                    "uid": "5d7d7086-d70b-4995-971a-0583b15a2bfc"
                },
                {
                    "domain": {
                        "domain-type": "domain",
                        "name": "SMC User",
                        "uid": "41e821a0-3720-11e3-aa6e-0800200c9fde"
                    },
                    "ipv4-address": "8.8.8.8",
                    "name": "h_8.8.8.8",
                    "type": "host",
                    "uid": "c210af07-1939-49d3-a351-953a9c471d9e"
                }
            ],
            "to": 2,
            "total": 2
        },
        "status_code": 200
    },
    "status_code": 200,
    "success": true
})

Обробка результатів API дзвінків

Після цього можна використовувати змінні та методи класу APIResponse(як усередині менеджера контексту, і зовні). У класу APIResponse зумовлено 4 методи та 5 змінних, на найважливіших ми зупинимося докладніше.

успіх

Для початку було б непогано переконатися, що API виклик пройшов успішно і повернув результат. Для цього є метод успіх:

In [49]: api_versions.success                                                   
Out[49]: True

Повертає True якщо API виклик пройшов успішно (Код відповіді - 200) і False якщо не успішно (будь-який інший код відповіді). Зручно використовувати відразу після API дзвінка, щоб в залежності від коду відповіді вивести різну інформацію.

if api_ver.success: 
    print(api_versions.data) 
else: 
    print(api_versions.err_message) 

statuscode

Повертає код відповіді після виконання API дзвінка.

In [62]: api_versions.status_code                                               
Out[62]: 400

Можливі коди відповідей: 200,400,401,403,404,409,500,501.

set_success_status

При цьому можливо необхідність змінити значення статусу success. Технічно, туди можна помістити будь-що, навіть звичайний рядок. Але реальним прикладом може бути скидання даного параметра False за певних супутніх умовах. Нижче зверніть увагу на приклад, коли є завдання, що виконуються на сервері управління, але ми вважатимемо цей запит невдалим (виставимо змінну success в Помилковий, незважаючи на те, що API виклик був успішним і повернув код 200).

for task in task_result.data["tasks"]:
    if task["status"] == "failed" or task["status"] == "partially succeeded":
        task_result.set_success_status(False)
        break

response()

Метод response дозволяє подивитися словник із кодом відповіді(status_code) і з тілом відповіді(body).

In [94]: api_versions.response()                                                
Out[94]: 
{'status_code': 200,
 'data': {'current-version': '1.6',
  'supported-versions': ['1', '1.1', '1.2', '1.3', '1.4', '1.5', '1.6']}}

дані

Дозволяє побачити лише тіло відповіді (body) без зайвої інформації.

In [93]: api_versions.data                                                      
Out[93]: 
{'current-version': '1.6',
 'supported-versions': ['1', '1.1', '1.2', '1.3', '1.4', '1.5', '1.6']}

повідомлення про помилку

Ця інформація доступна лише тоді, коли під час обробки API запиту виникла помилка (код відповіді НЕ 200). Приклад виведення

In [107]: api_versions.error_message                                            
Out[107]: 'code: generic_err_invalid_parameter_namenmessage: Unrecognized parameter [1]n'

Корисні приклади

Нижче наведено приклади, в яких використовуються API виклики, які були додані до версії Management API 1.6.

Для початку розглянемо роботу дзвінків add-host и add-address-range. Припустимо, нам потрібно створити як об'єкт типу хост всі ip адреси підмережі 192.168.0.0/24, останній октет яких дорівнює 5, а всі інші ip адреси записати в якості об'єктів типу діапазон адрес. При цьому адресу підмережі та широкомовну адресу виключити.

Отже, нижче представлений скрипт у якому вирішується це завдання і створюються 50 об'єктів типу хост і 51 об'єкт типу діапазон адрес. На вирішення завдання потрібно 101 API виклик (не рахуючи фінального виклику publish). Також за допомогою модуля timeit ми підраховуємо час виконання скрипту до моменту публікації змін.

Скрипт з використанням add-host і add-address-range

import timeit
from cpapi import APIClient, APIClientArgs

start = timeit.default_timer()

first_ip = 1
last_ip = 4

client_args = APIClientArgs(server="192.168.47.240")

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     for ip in range(5,255,5):
         add_host = client.api_call("add-host", {"name" : f"h_192.168.0.{ip}", "ip-address": f'192.168.0.{ip}'})
     while last_ip < 255:
         add_range = client.api_call("add-address-range", {"name": f"r_192.168.0.{first_ip}-{last_ip}", "ip-address-first": f"192.168.0.{first_ip}", "ip-address-last": f"192.168.0.{last_ip}"})
         first_ip+=5
         last_ip+=5
     stop = timeit.default_timer() 
     publish = client.api_call("publish")
     
print(f'Time to execute batch request: {stop - start} seconds')

У моєму лабораторному середовищі виконання цього скрипта йде від 30 до 50 секунд залежно від навантаження на сервер управління.

А тепер подивимося як вирішити це завдання за допомогою API виклику add-objects-batch, підтримка якого додана до версії API 1.6. Даний дзвінок дозволяє за один API запит створити відразу безліч об'єктів. Це можуть бути об'єкти різних типів (наприклад хости, підмережі та діапазони адрес). Таким чином, наша задача може бути вирішена в рамках одного API виклику.

Скрипт з використанням add-objects-batch

import timeit
from cpapi import APIClient, APIClientArgs

start = timeit.default_timer()

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip = []
objects_list_range = []

for ip in range(5,255,5):
    data = {"name": f'h_192.168.0.{ip}', "ip-address": f'192.168.0.{ip}'}
    objects_list_ip.append(data)
    
first_ip = 1
last_ip = 4


while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "ip-address-first": f"192.168.0.{first_ip}", "ip-address-last": f"192.168.0.{last_ip}"}
    objects_list_range.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip
}, {
    "type" : "address-range",
    "list" : objects_list_range
  }]
}


with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     add_objects_batch = client.api_call("add-objects-batch", data_for_batch)
     stop = timeit.default_timer() 
     publish = client.api_call("publish")
     
print(f'Time to execute batch request: {stop - start} seconds')

А на виконання цього скрипту в моєму лабораторному середовищі йде від 3 до 7 секунд залежно від навантаження на сервер керування. Тобто, в середньому, на 101 об'єкті API виклик типу batch, відпрацьовує у 10 разів швидше. На більшій кількості об'єктів різниця буде ще більш вражаючою.

Тепер давайте подивимося як працювати з set-objects-batch. За допомогою цього API виклику ми можемо масово змінити будь-який параметр. Давайте налаштуємо першій половині адрес з минулого прикладу (до .124 хоста, причому і діапазонам теж) колір sienna, а другій половині адрес призначимо колір khaki.

Зміна кольору об'єктів, створених у попередньому прикладі

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip_first = []
objects_list_range_first = []
objects_list_ip_second = []
objects_list_range_second = []

for ip in range(5,125,5):
    data = {"name": f'h_192.168.0.{ip}', "color": "sienna"}
    objects_list_ip_first.append(data)
    
for ip in range(125,255,5):
    data = {"name": f'h_192.168.0.{ip}', "color": "khaki"}
    objects_list_ip_second.append(data)
    
first_ip = 1
last_ip = 4
while last_ip < 125:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "color": "sienna"}
    objects_list_range_first.append(data)
    first_ip+=5
    last_ip+=5
    
while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}", "color": "khaki"}
    objects_list_range_second.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch_first  = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip_first
}, {
    "type" : "address-range",
    "list" : objects_list_range_first
  }]
}

data_for_batch_second  = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip_second
}, {
    "type" : "address-range",
    "list" : objects_list_range_second
  }]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==') 
     set_objects_batch_first = client.api_call("set-objects-batch", data_for_batch_first)
     set_objects_batch_second = client.api_call("set-objects-batch", data_for_batch_second)
     publish = client.api_call("publish")

Видалити багато об'єктів в одному API виклику можна за допомогою delete-objects-batch. А тепер подивимося на приклад коду, який видаляє всі хости, створені раніше через add-objects-batch.

Видалення об'єктів за допомогою delete-objects-batch

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

objects_list_ip = []
objects_list_range = []

for ip in range(5,255,5):
    data = {"name": f'h_192.168.0.{ip}'}
    objects_list_ip.append(data)

first_ip = 1
last_ip = 4
while last_ip < 255:
    data = {"name": f"r_192.168.0.{first_ip}-{last_ip}"}
    objects_list_range.append(data)
    first_ip+=5
    last_ip+=5

data_for_batch = {
  "objects" : [ {
    "type" : "host",
    "list" : objects_list_ip
}, {
    "type" : "address-range",
    "list" : objects_list_range
  }]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     delete_objects_batch = client.api_call("delete-objects-batch", data_for_batch)
     publish = client.api_call("publish")

print(delete_objects_batch.data)

Всі функції, які з'являються в нових релізах Check Point, відразу ж знаходять і API виклики. Так, у R80.40 з'явилися такі "фічі" як Revert to revision та Smart Task, і для них одразу ж підготували відповідні API виклики. Більше того, весь функціонал під час переходу з Legacy консолей у режим Unified Policy також обростає підтримкою API. Наприклад, довгоочікуваним оновленням у версії програмного забезпечення R80.40 став переїзд політики HTTPS Inspection з Legacy режиму в режим Unified Policy, і даний функціонал відразу ж отримав API виклики. Ось приклад коду, який додає на верхню позицію HTTPS Inspection policy правило, яке виключає з інспекції 3 категорії (Здоров'я, Фінанси, Державні послуги), які заборонено перевіряти відповідно до законодавства у низці країн.

Додати правило до політики HTTPS Inspection

from cpapi import APIClient, APIClientArgs

client_args = APIClientArgs(server="192.168.47.240")

data = {
  "layer" : "Default Layer",
  "position" : "top",
  "name" : "Legal Requirements",
  "action": "bypass",
  "site-category": ["Health", "Government / Military", "Financial Services"]
}

with APIClient(client_args) as client: 
     login = client.login_with_api_key('3TsbPJ8ZKjaJGvFyoFqHFA==')
     add_https_rule = client.api_call("add-https-rule", data)
     publish = client.api_call("publish")

Запуск Python скриптів на сервері керування Check Point

Все в тому ж README.md міститься інформація як запускати скрипти на Python прямо з сервера керування. Це може бути зручно, коли у вас немає можливості підключитися до сервера API з іншої машини. Я записав шестихвилинне відео в якому розглядаю установку модуля cpapi та особливості запуску Python скриптів на сервері керування. Як приклад запускається скрипт, який автоматизує конфігурацію нового шлюзу для такого завдання, як мережний аудит Security CheckUp. З особливостей, з якими довелося зіткнутися: у версії Python 2.7 ще з'явилася функція вхідтому для обробки інформації, яку вводить користувач, використовується функція raw_input. В іншому, код такий же як для запуску з інших машин, тільки зручніше використовувати функцію login_as_root, щоб не вказувати свої власні username, пароль і IP адресу сервера управління ще раз.

Скрипт для швидкого налаштування Security CheckUp

from __future__ import print_function
import getpass
import sys, os
sys.path.append(os.path.abspath(os.path.join(os.path.dirname(__file__), '..')))
from cpapi import APIClient, APIClientArgs

def main():
    with APIClient() as client:
       # if client.check_fingerprint() is False:
       #     print("Could not get the server's fingerprint - Check connectivity with the server.")
       #     exit(1)
        login_res = client.login_as_root()

        if login_res.success is False:
            print("Login failed:n{}".format(login_res.error_message))
            exit(1)

        gw_name = raw_input("Enter the gateway name:")
        gw_ip = raw_input("Enter the gateway IP address:")
        if sys.stdin.isatty():
            sic = getpass.getpass("Enter one-time password for the gateway(SIC): ")
        else:
            print("Attention! Your password will be shown on the screen!")
            sic = raw_input("Enter one-time password for the gateway(SIC): ")
        version = raw_input("Enter the gateway version(like RXX.YY):")
        add_gw = client.api_call("add-simple-gateway", {'name' : gw_name, 'ipv4-address' : gw_ip, 'one-time-password' : sic, 'version': version.capitalize(), 'application-control' : 'true', 'url-filtering' : 'true', 'ips' : 'true', 'anti-bot' : 'true', 'anti-virus' : 'true', 'threat-emulation' : 'true'})
        if add_gw.success and add_gw.data['sic-state'] != "communicating":
            print("Secure connection with the gateway hasn't established!")
            exit(1)
        elif add_gw.success:
            print("The gateway was added successfully.")
            gw_uid = add_gw.data['uid']
            gw_name = add_gw.data['name']
        else:
            print("Failed to add the gateway - {}".format(add_gw.error_message))
            exit(1)

        change_policy = client.api_call("set-access-layer", {"name" : "Network", "applications-and-url-filtering": "true", "content-awareness": "true"})
        if change_policy.success:
            print("The policy has been changed successfully")
        else:
            print("Failed to change the policy- {}".format(change_policy.error_message))
        change_rule = client.api_call("set-access-rule", {"name" : "Cleanup rule", "layer" : "Network", "action": "Accept", "track": {"type": "Detailed Log", "accounting": "true"}})
        if change_rule.success:
            print("The cleanup rule has been changed successfully")
        else:
            print("Failed to change the cleanup rule- {}".format(change_rule.error_message))

        # publish the result
        publish_res = client.api_call("publish", {})
        if publish_res.success:
            print("The changes were published successfully.")
        else:
                print("Failed to publish the changes - {}".format(install_tp_policy.error_message))

        install_access_policy = client.api_call("install-policy", {"policy-package" : "Standard", "access" : 'true',  "threat-prevention" : 'false', "targets" : gw_uid})
        if install_access_policy.success:
            print("The access policy has been installed")
        else:
                print("Failed to install access policy - {}".format(install_tp_policy.error_message))

        install_tp_policy = client.api_call("install-policy", {"policy-package" : "Standard", "access" : 'false',  "threat-prevention" : 'true', "targets" : gw_uid})
        if install_tp_policy.success:
            print("The threat prevention policy has been installed")
        else:
            print("Failed to install threat prevention policy - {}".format(install_tp_policy.error_message))
        
        # add passwords and passphrases to dictionary
        with open('additional_pass.conf') as f:
            line_num = 0
            for line in f:
                line_num += 1
                add_password_dictionary = client.api_call("run-script", {"script-name" : "Add passwords and passphrases", "script" : "printf "{}" >> $FWDIR/conf/additional_pass.conf".format(line), "targets" : gw_name})
                if add_password_dictionary.success:
                    print("The password dictionary line {} was added successfully".format(line_num))
                else:
                    print("Failed to add the dictionary - {}".format(add_password_dictionary.error_message))

main()

Приклад файлу зі словником паролів additional_pass.conf
{
"passwords" : ["malware","malicious","infected","Infected"],
"phrases" : ["password","Password","Pass","pass","codigo","key","pwd","пароль","Пароль","Ключ","ключ","шифр","Шифр"]
}

Висновок

Ця стаття розглядає лише основні можливості роботи Python SDK та модуля cpapi(як ви могли здогадатися, це практично синоніми), і вивчивши код в даному модулі ви відкриєте собі ще більше здібностей у роботі з ним. Не виключено, що у вас з'явиться бажання доповнити його своїми класами, функціями, методами та змінними. Ви завжди можете ділитися своїми напрацюваннями та переглядати інші скрипти для Check Point у розділі CodeHub в співтоваристві CheckMates, що поєднує в собі і розробників продуктів та користувачів.

Приємного кодингу та дякую, що дочитали до кінця!

Джерело: habr.com