python – RSNET.PL

Palo Alto API tworzenie reguł – Python skrypt

admin — Mon, 19 Mar 2018 19:33:04 +0000

Korzystając z API możemy na firewallach Palo Alto dodawać reguły bezpieczeństwa bez konieczności otwierania interfejsu do zarządzania i tworzenia reguł wybierając odpowiednie opcje z menu.

ŚRODOWISKO

Do celów demonstracji możliwości tworzenia reguł bezpieczeństwa przy pomocy API na urządzeniach Palo Alto posłużyłem się topologią zbudowaną w GNS3, tą samą co w tym wpisie.

TOPOLOGIA

SKRYPT

Skrypt tworzący regułę bezpieczeństwa, przenoszący ją w odpowiednie miejsce a na końcu robiący commit zmian wygląda następująco:

config_palo.py

#!/usr/bin/python

import requests, getpass, re

## list of firewalls
firewalls_ip = [
 '192.168.0.201',
 '192.168.0.202',
 '192.168.0.203',
]

## login and password for firewall
username = raw_input("Please enter your username: ") 
password = getpass.getpass("Please enter your password: ")

## generate api key
url = "https://192.168.0.201/api/?type=keygen&user={}&password={}"
response = requests.get(url.format(username,password), verify=False)
response.raise_for_status()
regex = re.compile(r'(.*)<\/key>')
key = regex.findall(response.text)[0]
print ("\nYour API key is: %s\n") % (key)

rule_path = "/config/devices/entry[@name='localhost.localdomain']/vsys/entry[@name='vsys1']/rulebase/security/rules"
rule_name = "permit_any"

rule = """
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 deny
 no
 permit any any rule
 no
 
"""

for ip in firewalls_ip:

 print ("Adding security rule to: %s\n") % (ip)
 url = "https://"+ip+"/api/?type=config&action=set&key={}&xpath={}&element={}"

 response = requests.post(url.format(key,rule_path,rule.format(rule_name)), verify=False)
 response.raise_for_status()
 print (response.text)

 print ("Moving security rule ...\n")
 move = raw_input("Do you want to move security rule ? (y/n) ")
 if move == "y":
  rule_pos = raw_input("Insert rule name after which you want to place new rule: ")
  url = "https://"+ip+"/api/?type=config&action=move&key={}&xpath={}/entry[@name='{}']&where=after&dst={}"
  response = requests.get(url.format(key,rule_path,rule_name,rule_pos), verify=False)
  response.raise_for_status()
  print (response.text)

 print ("Commiting changes ...\n")
 commit = raw_input("Are you sure you want to commit ? (y/n) ")
 if commit == "y":
  url = "https://"+ip+"/api/?type=commit&key={}&cmd="
  commit_response = requests.post(url.format(key),verify=False)
  commit_response.raise_for_status()
  print (response.text)
 else:
  print ("Commit cancelled !\n")

Cały skrypt można ściągnąć pod tym linkiem.

Opis skryptu:

Lista IP z firewallami na których chcemy stworzyć regułę bezpieczeństwa:

firewalls_ip = [
 '192.168.0.201',
 '192.168.0.202',
 '192.168.0.203',
]

2. Stworzenie klucza API KEY przy pomocy logowania użytkownikiem i hasłem do jednego z firewalli z listy (pod warunkiem ze na każdym FW mamy tego samego użytkownika i hasło, w innym przypadku klucz musimy generować dla każdego z FW osobno)

## login and password for firewall
username = raw_input("Please enter your username: ") 
password = getpass.getpass("Please enter your password: ")

## generate api key
url = "https://192.168.0.201/api/?type=keygen&user={}&password={}"
response = requests.get(url.format(username,password), verify=False)
response.raise_for_status()
regex = re.compile(r'(.*)<\/key>')
key = regex.findall(response.text)[0]
print ("\nYour API key is: %s\n") % (key)

3. Stworzenie zmiennej o nazwie „rule” zawierającej regułę w postaci xml. Można taką regułę odczytać z pliku xml z konfiguracją. W powyższym skrypcie reguła zezwala na cały ruch z każdej strefy i każdego adresu do każdej strefy i do każdego adresu (allow any any)

rule_path = "/config/devices/entry[@name='localhost.localdomain']/vsys/entry[@name='vsys1']/rulebase/security/rules"
rule_name = "permit_any"

rule = """
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 deny
 no
 permit any any rule
 no
 
"""

4. Tworzenie reguły dla każdego firewalla z listy firewalls_ip:

for ip in firewalls_ip:

  print ("Adding security rule to: %s\n") % (ip)
  url = "https://"+ip+"/api/?type=config&action=set&key={}&xpath={}&element={}"
 
  response = requests.post(url.format(key,rule_path,rule.format(rule_name)), verify=False)
  response.raise_for_status()
  print (response.text)

5. Reguła stworzona w poprzednim punkcie jest tworzona i dodawana do konfiguracji na końcu. Zmianę miejsca reguły realizuje poniższy fragment skryptu:

 print ("Moving security rule ...\n")
 move = raw_input("Do you want to move security rule ? (y/n) ")
 if move == "y":
   rule_pos = raw_input("Insert rule name after which you want to place new rule: ")
   url = "https://"+ip+"/api/?type=config&action=move&key={}&xpath={}/entry[@name='{}']&where=after&dst={}"
   response = requests.get(url.format(key,rule_path,rule_name,rule_pos), verify=False)
   response.raise_for_status()
   print (response.text)

6. Commit zmian:

 print ("Commiting changes ...\n")
 commit = raw_input("Are you sure you want to commit ? (y/n) ")
 
 if commit == "y":
   url = "https://"+ip+"/api/?type=commit&key={}&cmd="
   commit_response = requests.post(url.format(key),verify=False)
   commit_response.raise_for_status()
   print (response.text)
 else:
   print ("Commit cancelled !\n")

Sprawdźmy działanie skryptu w praktyce:

Na początek sprawdźmy jak wygląda zakładka Policies -> Security na każdym z firewalli:

Teraz uruchamiamy skrypt…

root@NetworkAutomation-1:~# ./config_palo.py
Please enter your username: admin
Please enter your password:
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
InsecureRequestWarning)

Your API key is: LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09

Adding security rule to: 192.168.0.201

/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
InsecureRequestWarning)
command succeeded
Moving security rule ...

Do you want to move security rule ? (y/n) n
Commiting changes ...

Are you sure you want to commit ? (y/n) y
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
InsecureRequestWarning)
command succeeded
Adding security rule to: 192.168.0.202

Do you want to move security rule ? (y/n) n
Commiting changes ...

Skrypt wykonał się z ostrzeżeniami, ale możemy je zignorować. Pojawiły się one, ponieważ wszystkie urządzenia posiadają domyślne certyfikaty, które nie są zaufane.

Zobaczmy teraz jak wyglądają polityki bezpieczeństwa po działaniu skryptu:

PODSUMOWANIE

Jak widać API na urządzeniach Palo Alto umożliwia w łatwy sposób tworzyć reguły bezpieczeństwa. Jest to bardzo przydatne w sytuacji, gdy musimy tą samą regułę stworzyć na wielu urządzeniach.

Programowanie CGI Pythona

admin — Sat, 03 Feb 2018 19:05:56 +0000

Czym jest CGI ?

(ang. Common Gateway Interface) – jest standardowym sposobem przekazywania przez serwer www żądania użytkownika do aplikacji i odbierania danych od aplikacji i przekazywanie ich użytkownikowi. Gdy użytkownik odwiedza stronę internetową (np. wprowadzając adres strony internetowej), serwer odsyła żądaną stronę. Takie działanie ma miejsce w przypadku stron statycznych, jednakże obecnie mamy w internecie przewagę stron dynamicznych, w przypadku których prezentowana strona jest generowana dynamicznie przez aplikację. Dzieje się tak na przykład w przypadku formularza na stronie internetowej. Użytkownik wypełnia dane w formularzu, przesyła je do serwera, następnie serwer otrzymane dane przesyła do aplikacji, która następnie przetwarza otrzymanie dane i zwraca wynik działania do użytkownika. Ta metoda, lub konwencja przekazywania danych tam i z powrotem między serwerem a aplikacją nazywa się CGI.

Konfiguracja serwera WWW

W celu poprawnego działania skryptów CGI konieczne jest odpowiednie skonfigurowanie serwera www. W moim przypadku serwerem www jest Apache i pokażę jak go skonfigurować do pracy z CGI. Konfigurację apache możemy wykonać w następujących krokach:

Krok 1.

Edytujemy zawartość pliku z naszą stroną (/sites-available/000-default.conf) odkomentowując linijkę: Include conf-available/serve-cgi-bin.conf

root@ubuntu-2:/usr/lib/cgi-bin# nano /etc/apache2/sites-available/000-default.conf


        # The ServerName directive sets the request scheme, hostname and port 
        # the server uses to identify itself. This is used when creating
        # redirection URLs. In the context of virtual hosts, the ServerName
        # specifies what hostname must appear in the request's Host: header to
        # match this virtual host. For the default virtual host (this file) this
        # value is not decisive as it is used as a last resort host regardless.
        # However, you must set it for any further virtual host explicitly.
        #ServerName www.example.com

        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html

        # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
        # error, crit, alert, emerg.
        # It is also possible to configure the loglevel for particular
        # modules, e.g.

        #LogLevel info ssl:warn

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        # For most configuration files from conf-available/, which are
        # enabled or disabled at a global level, it is possible to
        # include a line for only one particular virtual host. For example the
        # following line enables the CGI configuration for this host only
        # after it has been globally disabled with "a2disconf".

        Include conf-available/serve-cgi-bin.conf

Krok 2.

Edytujemy plik conf-available/serve-cgi-bin.conf

         
                ScriptAlias /cgi-bin/ /home/kuba/scripts/
                /home/kuba/scripts/">
                        AllowOverride None
                        Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                        Require all granted
                        AddHandler cgi-script .py

ScriptAlias wskazuje gdzie będą przetrzymywane nasze skrypty, domyślnie jest to katalog /var/www/cgi-bin, natomiast możemy tu ustawić dowolny inny katalog. Ja ustawiłem katalog /home/kuba/scripts.

AddHandler wskazuje jakie rozszerzenia skryptów będziemy obsługiwać (w moim przypadku będą to skrypty python więc dodałem rozszerzenie .py)

Krok 3.

Aktywujemy moduł cgi w apache i restartujemy apache’a.

root@ubuntu-2:/usr/lib/cgi-bin# a2enmod cgi
root@ubuntu-2:/usr/lib/cgi-bin# systemctl restart apache2

Pierwszy skrypt

Stwórzmy sobie pierwszy skrypt python, który wygeneruje nam stronę www z treścią Hello World !!!.

Skrypt ten wygląda następująco:

#!/usr/bin/python

print("Content-Type: text/html\n\n")
print('''


Hello World - script


Hello Word !!!


''')

Następnie skrypt musimy umieścić w naszym katalogu ze skryptami (/home/kuba/scripts) i nadać mu atrybuty wykonywalności (chmod +x).

Teraz pozostaje tylko otwarcie odpowiedniego linku w przeglądarce:

http://192.168.48.142/cgi-bin/hello.py

gdzie:

192.168.48.142 to adres naszego serwera,

hello.py to nazwa naszego skryptu.

Jeśli wszystko przebiegło pomyślnie naszym oczom powinna ukazać strona z zawartościa Hello World !!!.

KALKULATOR IP W PYTHON

Teraz spróbujmy napisać coś bardziej zaawansowanego w python, a mianowicie kalkulator IP. Do tego celu posłuży nam wbudowana Pythona biblioteka ipaddress, która umożliwia pracę z adresami IP.

Cała aplikacja będzie składać się z 3 plików:

/var/www/html/index.html
/home/kuba/scripts/script.py
/home/kuba/scripts/calc.py

Zawartość plików jest następująca:

/var/www/html/index.html

IP Calculator

Python IP Calculator

2. /home/kuba/scripts/script.py

#!/usr/bin/python

print("Content-Type: text/html\n\n")
print('''


IP Calculator


INSERT IP AND SUBNET


 IP Address (eg. 192.168.0.0)

 Subnet Mask (eg. 24)





''')

3. /home/kuba/scripts/calc.py

#!/usr/bin/python

import cgi, cgitb, ipaddress

form = cgi.FieldStorage()
ip = form.getvalue('ip')
subnet = form.getvalue('subnet')
ips = unicode(ip+"/"+subnet)
intf = ipaddress.ip_interface(ips)
netmask = intf.with_netmask.split("/")[1]

print("Content-Type: text/html\n\n")
print('''


IP Calculator


RESULTS

''')

print"IP Address %s
" % (ip)
print"Subnet Mask %s = %s
" % (netmask,subnet)
print"Wildcard Mask %s
" % (intf.network.with_hostmask.split('/')[1])
print"Network %s
" % (intf.network.with_prefixlen)
print"Broadcast %s
" % (intf.network.broadcast_address)
print"Host Min %s
" % (intf.network[1])
print"Host Max %s
" % (intf.network[-2])
print"Hosts/Net %s
" % (intf.network.num_addresses-2)

print('''



''')

Zasada działania kalkulatora jest następująca:

Klient wchodzi na stronę http://192.168.48.142/index.html (plik /var/www/html/index.html). Strona składa się z ramki, w której wyświetlany jest wynik skryptu script.py. Wynikiem działania skryptu script.py jest formularz, składający się z pól tekstowych ip i subnet, oraz przycisku Calc, który uruchamia skrypt calc.py. Skrypt calc.py wykonuje operacje na podanych w formularzu polach ip i subnet i prezentuje na ich podstawie następujące wyniki:

IP Address – adres IP podany w formularzu,

Subnet Mask – maska podsieci podana w formularzu,

Wildcard Mask – maska w formacie wildard’owym,

Network – adres sieci,

Broadcast – adres rozgłoszeniowy,

Host Min – najmniejszy adres dostępny dla hosta,

Host Max – największy adres dostępny dla hosta,

Hosts/Net – ilość adresów dostępna dla hostów.

WYNIK

Sprawdźmy teraz jak wygląda aplikacja kalkulatora IP z punku widzenia klienta i jego przeglądarki. Otwórzmy w tym celu stronę index.html:

PODSUMOWANIE

Na powyższym przykładzie aplikacji www kalkulatora IP, widać, że Python z CGI dają olbrzymie możliwości tworzenia aplikacji internetowych przy wykorzystaniu skryptów. Oczywiście powyższe zastosowanie nie jest najlepszą i najwydajniejsza metodą tworzenia stron internetowych, ale pokazuję, że właściwie bez zaawansowanej znajomości kodowania stron www, możemy tworzyć łatwe formularze czy aplikacje wykorzystując skrypty Pythona. Do bardziej zaawansowanych aplikacji można skorzystać z nowoczesnego frameworka opartego na Pythonie a mianowicie Django.

Palo Alto API backup konfiguracji – Python skrypt

admin — Thu, 28 Dec 2017 19:45:32 +0000

Korzystając z API możemy na firewallach Palo Alto wykonywać komendy przez przeglądarkę jednym zapytaniem bez konieczności otwierania interfejsu do zarządzania i klikania po menu.

PRZYKŁAD

Do celów demonstracji możliwości API na Palo Alto posłużyłem się topologią zbudowaną z GNS3 składającą się z 3 firewalli, switcha oraz dwóch maszyn wirtualnych (gns3-webterm – do dostepu do API przez przeglądarkę, oraz NetworkAutomation – maszyna z pythonem na której będziemy pisać skrypt).

TOPOLOGIA

API

W celu dostępu do API musimy wygenerować klucz API, który będzie wykorzystywany do zapytań do API. Klucz jest generowany z użytkownika i hasła, więc jeśli posiadamy kilka firewalli i na każdym z nich mamy tego samego usera i hasło to klucz będzie taki sam dla każdego urządzenia.

Do generacji klucza służy następujące zapytanie:

https://firewall_ip/api/?type=keygen&user=username&password=password

Sprawdźmy jak to wygląda na żywo. W tym celu wchodzimy do gns3-webterm i wpisujemy w przeglądarce podany URL zamieniając firewall_ip na jeden z adresów IP firewalli oraz wpisując poprawny login i hasło:

https://192.168.0.201/api/?type=keygen&user=admin&password=admin

Jak widać z powyższego screena dostaliśmy w odpowiedzi plik XML, który zawiera klucz postaci:

LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09

To samo możemy uzyskać na maszynie NetworkAutomation korzystając z programu curl i komendy:

root@NetworkAutomation-1:~# curl -X GET 'https://192.168.0.201/api/?type=keygen&user=admin&password=admin' --insecure

LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09

Po otrzymaniu klucza możemy wykonać jakąś komendę przez API. Listę komend i składnię zapytań możemy znaleźć wpisując w przeglądarce https://firewall_ip/api

Do eksportu konfiguracji służy zapytanie postaci:

https://firewall_ip/api/?type=export&category=configuration&key=

gdzie to klucz otrzymany z wcześniejszej komendy. Całe zapytanie wygląda więc następująco:

https://192.168.0.201/api/?type=export&category=configuration&key=LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09

W odpowiedzi dostaniemy plik xml z konfiguracją:

Spróbujmy teraz to samo uzyskać korzystając z curl’a:

root@NetworkAutomation-1:~# curl -X GET 'https://192.168.0.201/api/?type=export&category=configuration&key=LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09' --insecure

fnRL/G5lXVMugyesyes5yes5yes5yes10yes5yes101010050101010050 ........

Widzimy, że otrzymaliśmy ten sam plik xml. Teraz możemy spróbować napisać skrypt, który wykona tą operację za nas i zapisze taki plik na dysk, dla każdego z firewalli.

SKRYPT

Skrypt jest bardzo prosty i wygląda nastepująco:

backup_config.py

#!/usr/bin/python

import requests, datetime
from lxml import etree

firewalls_ip = [
 '192.168.0.201',
 '192.168.0.202',
 '192.168.0.203'
]

date_1 = datetime.datetime.now().strftime("%Y-%m-%d_%H:%M")
key = 'LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09'

params = (
 ('type', 'export'),
 ('category', 'configuration'),
 ('key', key),
)

for hostname in firewalls_ip:
 print "Saving config for : %s" %hostname
 url = "https://"+hostname+"/api/"
 response = requests.get(url, params=params, verify=False)
 xml_str = response.text
 root = etree.fromstring(xml_str)

 filename = "running-config-"+hostname+"-"+date_1+".xml"
 file = open(filename,"w")
 file.write("""\n""")
 file.write(etree.tostring(root, pretty_print=True))
 file.close()

Sprawdźmy jego działanie w praktyce:

root@NetworkAutomation-1:~# ./backup_config.py
Saving config for : 192.168.0.201
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
 InsecureRequestWarning)
Saving config for : 192.168.0.202
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
 InsecureRequestWarning)
Saving config for : 192.168.0.203
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
 InsecureRequestWarning)

Skrypt wykonał się z ostrzeżeniami, ale możemy je zignorować. Pojawiły się one, ponieważ wszystkie urządzenia posiadają domyślne certyfikaty, które nie są zaufane.

Sprawdźmy teraz jak wygląda katalog w którym jest skrypt:

-rwxr-xr-x 1 root root 809 Dec 28 19:36 backup_config.py
-rw-r--r-- 1 root root 9161 Dec 28 19:36 running-config-192.168.0.201-2017-12-28_19:36.xml
-rw-r--r-- 1 root root 9161 Dec 28 19:36 running-config-192.168.0.202-2018-12-28_19:36.xml
-rw-r--r-- 1 root root 9161 Dec 28 19:36 running-config-192.168.0.203-2018-12-28_19:36.xml

Widać, że stworzone zostały trzy pliki zgodnie z oczekiwaniami dla każdego z firewalli. Otwórzmy teraz jeden z nich i zobaczmy jak wygląda:

root@NetworkAutomation-1:~# cat running-config-192.168.0.201-2017-12-28_19:36.xml



  
    
      
         fnRL/G5lXVMug
         
           
             yes
           
         
      
    
  
  
    
    
    
    
    
       
         
           
             yes
             5
           
     ...

PODSUMOWANIE

Jak widać API na urządzeniach Palo Alto umożliwia w łatwy sposób eksportować konfigurację, dzięki czemu w przypadku awarii urządzenia mamy kopię konfiguracji. Jest to bardzo przydatne zwłaszcza w sytuacji gdy mamy wiele firewalli do administracji. W kolejnych wpisach pokaże więcej możliwości wykorzystania API na urządzeniach Palo Alto.

Skrypt python do zmiany serwerów ntp na CISCO

admin — Sun, 15 Oct 2017 20:38:08 +0000

W poniższym wpisie pokażę prosty skrypt w Pythonie wykorzystujący bibliotekę netmiko oraz textfsm. Skrypt będzie łączył sie po ssh ze switchami CISCO i zmieniać adresy serwerów ntp na nowe.

Wyobraźmy sobie sytuację że mamy 20 switchy ze skonfigurowanymi następującymi adresami serwerów ntp:

SWITCH-1#show run | in ntp
ntp server 192.168.55.100
ntp server 192.168.60.100

Dostaliśmy informację, że niedługo nastąpi zmiana adresów IP serwerów ntp na nowe następujące adresy:

10.0.10.1, 10.0.10.2, 10.0.10.3

i musimy na wszystkich switchach zamienić adresy serwerów ntp. Możemy to zrobić ręcznie, logując się na każdy switch i wydając komendy:

no ntp server …

ntp server..

albo wykorzystać skrypt, który zrobi to za nas.

ZACZYNAMY

Skrypt realizujący to zadanie będzie działał następująco:

Logowanie do urządzenia
Wykonanie komendy show run | in ntp i zapisanie wyników
Usunięcie starych serwerów ntp z wyników z punktu 2.
Ustawienie nowych serwerów ntp

Skrypt będzie wykorzystywał pliki z komendami, dzięki czemu będziemy mogli go w łatwy sposób przerabiać do innych potrzeb (nie tylko do zmian serwerów ntp). Wystarczy wyedytować pliki commands.txt i commands2.txt oraz zmienić plik textfsm, który parsuje wyniki polecenia z pliku commands2.txt. Zapraszam do przeczytania moich wpisów o Netmiko i TextFSM, które napewno rozjaśnią poniższy skrypt.

SKRYPT

config_cisco.py

#!/usr/bin/python

from netmiko import ConnectHandler
import sys, textfsm

def check_cmd(ip, username, password,commands):
 # nawiązanie połączenia do urządzenia
 ssh_connection = ConnectHandler(
 device_type='cisco_ios',
 ip=ip,
 username=username,
 password=password,
 )
 result = ""
 for i in commands:
    result += ssh_connection.send_command(i)+"\n"
 # zamknięcie połączenia
 ssh_connection.disconnect()

 return result

def set_cmd(ip, username, password,commands):
 # nawiązanie połączenia do urządzenia
 ssh_connection = ConnectHandler(
 device_type='cisco_ios',
 ip=ip,
 username=username,
 password=password,
 )
 result = ssh_connection.send_config_set(commands)
 # zamknięcie połączenia
 ssh_connection.disconnect()

 return result

if __name__ == "__main__":
 if len(sys.argv) != 4:
   print("\nSkrypt do zmiany adresów serwerów ntp na urzadzeniach cisco:")
   print("\tconfig_cisco.py ,   \n\n")
   print("\tprzykładowe użycie: config_cisco.py 192.168.10.10,192.168.10.11 admin cisco123 \n\n")
   sys.exit(0)

 devices = sys.argv[1]
 username = sys.argv[2]
 password = sys.argv[3]
 set_file = "commands.txt"
 get_file = "commands2.txt"

 f = open(set_file,'r')
 commands = f.read().splitlines()
 f.close

 f = open(get_file,'r')
 commands2 = f.read().splitlines()
 f.close

 device = devices.split(',')
 re_table = textfsm.TextFSM(open("config_devices.textfsm"))

 for i in switch:
   print "wykonywanie komend z pliku (%s) dla urządzenia %s" %(get_file,i)

 #sprawdzanie czy sa juz jakies ntp servery
 #sprawdzenie odbywa sie przy pomocy komend z pliku get_file
 check_out = check_cmd(i,username,password,commands2)
 fsm_results = re_table.ParseText(check_out)

 commands3=[]
 #sprawdzanie czy juz jest jakis ntp server, jesli jest to go usuwamy
 for j in fsm_results:
   commands3.append('no '+' '.join(j))
   set_out = set_cmd(i,username,password,commands3)

 print "wykonywanie komend z pliku (%s) dla switcha %s" % (set_file,i)
 #ustawienie nowych serwerow ntp, czyli komend z pliku set_file
 set_out = set_cmd(i,username,password,commands)

 #koniec
 print "koniec"

Plik config_devices.textfsm

Value ntp (\S+)
Value server (\S+)
Value ip (.+)

Start
 ^${ntp}\s+${server}\s+${ip} -> Record

Pliki z komendami:

commands.txt

ntp server 10.0.10.1
ntp server 10.0.10.2
ntp server 10.0.10.3

commands2.txt

show run | in ntp server

Skrypt uruchamiamy następującym poleceniem:

config_devices.py 192.168.10.10,192.168.10.11,192.168.10.12,192.168.10.13,192.168.10.14,192.168.10.15,192.168.10.16,192.168.10.17,192.168.10.18,192.168.10.19,192.168.10.20,192.168.10.21,192.168.10.22,192.168.10.23,192.168.10.24,192.168.10.25,192.168.10.26,192.168.10.27,192.168.10.28,192.168.10.29 admin cisco123

Oczywiście skrypt można napisać w inny sposób, nie korzystając z textfsm i plików z komendami, ale chciałem pokazać textfsm, bo uważam że jest to nieodzowna biblioteka przy pracy z urządzeniami Cisco i napewno będę publikował więcej skryptów z jej wykorzystaniem.

CISCO ISE 2.x monitoring REST API

admin — Tue, 10 Oct 2017 19:58:55 +0000

Cisco ISE (Identity Services Engine) pozwala na bezpieczny dostęp urządzeń i użytkowników do sieci przewodowych, bezprzewodowych i do VPN. Więcej informacji na temat możliwości i zastosowań ISE można znaleźć na stronie Cisco.com. Ja skupię się na bardzo przydatnej funkcjonalności dostępnej w ISE a mianowicie REST API.

Po podniesieniu wersji ISE z 2.2 do 2.3 napotkałem następujący problem. Po wejściu do interfejsu webowego do głównego menu nie wyświetla się lista aktywnych Endpointów. Mimo iż stacje końcowe są uwierzytelnione do sieci przez ISE.

Problem można rozwiązać kontaktując się z supportem CISCO, albo skorzystać z dostępnego REST API.

Do sprawdzenia ilości sesji posłużymy się Monitoring REST API. W tym celu musimy najpierw stworzyć użytkownika w jednej z poniższych grup:

Super Admin
System Admin
MnT Admin

Załóżmy że stworzymy sobie użytkownika mnt_admin w grupie MnT Admin, o haśle Cisco123!

TEST API

Teraz możemy przetestować Monitoring REST API wpisując w przeglądarce:

https:///API/mnt/Session/ActiveList

Pojawi się ekran do logowania. W polu username wpisujemy stworzonego przez nas wcześniej usera: mnt_admin, w polu password hasło: Cisco123!. Po poprawnym uwierzytelnieniu powinniśmy zobaczyć plik xml o postaci:



  
    00:22:3C:0D:BA:26
    00:22:3C:0D:BA:26
    192.168.10.22
    0000001F
    0A120A02000000D40135DECF
    ISE01
    172.16.22.12
    
  
  
    00:F1:4C:47:B2:27
    00:F1:4C:47:B2:27
    192.168.10.22
    00000011
    0A120A020000003B004E8945
    ISE01
    172.16.22.16
    
  

…

  
    00:14:38:28:A9:12
    00:14:38:28:A9:12
    192.168.10.22
    000023B1
    0A0C0AED000019DF4879AACD
    ISE01
    172.16.22.32
    
  
  
    corp.local/jan.kowalski
    EC:F4:BA:17:AB:0D
    192.168.10.22
    00002BDD
    0A0B02E200000DA7DF251399
    ISE01
    172.16.24.12

Wynikiem jest plik XML z kilkoma wartościami dla każdej aktywnej sesji: user_name (nazwa użytkownika), calling_station_id (adres MAC stacji końcowej), nas_ip_address (adres IP urządzenia sieciowego (NAD), do którego podięty jest użytkownik), acct_session_id, audit_session_id, server (instancja ISE do której należy dana sesja) i framed_ip_address (adres IP stacji końcowej)

Druga linijka wyniku zawiera informację o liczbie sesji:

Napiszmy teraz skrypt, który oprócz wyświetlenia listy sesji wyświetli też metodę uwierzytelnienia MAB, albo 802.1X.

Skrypt w Pythonie

Do stworzenia skryptu posłużymy się biblioteką requests, textfsm oraz lxml. Biblioteka requests umożliwi nam połączenie się z API.

Skrypt wygląda następująco:

#!/usr/bin/python
import requests, textfsm
from lxml import etree

user='mnt_admin'
password='Cisco123!'

r = requests.get('https:///admin/API/mnt/Session/ActiveList',auth=(user, password))
utf8_parser = etree.XMLParser(encoding='utf-8')
node = etree.fromstring(r.text.encode('utf-8'), parser=utf8_parser)
xmlstr = etree.tostring(node, xml_declaration=True, encoding="UTF-8", pretty_print=True)

re_table = textfsm.TextFSM(open("ise_sessions.textfsm"))
fsm_results = re_table.ParseText(xmlstr)


total=mab=0
for i in fsm_results:
   total=total+1
   if i[0] == i[1]:
        mab=mab+1

dot1x=total-mab

print "---------------------------------"
print "Sessions per Method"
print "Active Sessions: "+str(total)
print "802.1X Session Count: "+str(dot1x)
print "MAB Session Count: "+str(mab)
print "---------------------------------"

Plik z szablonem textfsm wygląda następująco:

Value user_name (\S+)
Value calling_station (\S+)
Value nas_ip_address (\S+)

Start
  ^\s*\s* -> Session

Session
  ^\s*${user_name}<\/user_name>
  ^\s*${calling_station}<\/calling_station_id>
  ^\s*${nas_ip_address}<\/nas_ip_address> -> Record

Wynik działania skryptu:

root@vm01:~# ./ise_api.py

---------------------------------
Sessions per Method
Active Sessions: 226
802.1X Session Count: 85
MAB Session Count: 141
---------------------------------

Wyjaśnienie:

Skrypt wyciąga i zapisuje do tablicy fsm_results następujące informacje dla każdej sesji (username, adres MAC, adres IP). Następnie jest zliczana liczba pozycji w tabeli (total) a w przypadku gdy username = adres MAC, a następuje to w sytuacji gdy uwierzytelniono się do sieci używając MAB (MAC Authentication Bypass). Reszta wyników to uwierzytelnienia przy pomocy 802.1x.

Jak widać liczba aktywnych sesji to 226, a nie tak jak pokazywało WEB GUI 0.

DHCP Linux + TextFSM

admin — Thu, 05 Oct 2017 20:39:17 +0000

We wpisie Cisco CLI + TextFSM pokazałem jak można wykorzystać bibliotekę textfsm do obrabiania wyników komend na urządzeniach z Cisco IOS. W tym wpisie pokażę jak uniwersalna jest ta biblioteka na przykładzie serwera DHCP postawionego na systemie Linux i wyciągania danych z pliku konfiguracyjnego.

Plik konfiguracyjny serwera ISC-DHCP znajduje się domyślnie w /etc/dhcpd.conf i ma postać:

ddns-update-style none;
log-facility local7;

subnet 10.99.10.0 netmask 255.255.255.0 {
        option routers                  10.99.10.1;
        option subnet-mask              255.255.255.0;
        option broadcast-address        10.99.10.255;
        option domain-name-servers      10.99.10.100;
        option ntp-servers              10.99.10.1;
        option netbios-name-servers     10.99.10.1;
        option netbios-node-type 2;
        default-lease-time 86400;
        max-lease-time 86400;

        host KOMPUTER_01 {hardware ethernet 28:d2:44:fa:2c:49;  fixed-address 10.99.10.11;}   #Komputer 01
        host KOMPUTER_02 {hardware ethernet 00:CC:D1:38:AC:45;  fixed-address 10.99.10.12;} #Komputer 02
        host KOMPUTER_03 {hardware ethernet 01:AC:D2:33:AA:41;  fixed-address 10.99.10.13;} #Komputer 03
        host KOMPUTER_04 {hardware ethernet 44:1E:A1:2F:62:A0;  fixed-address 10.99.10.14;} #Komputer 04
        host KOMPUTER_05 {hardware ethernet EC:F4:BB:47:0B:0D;  fixed-address 10.99.10.15;} #Komputer 05
        host KOMPUTER_06 {hardware ethernet f0:de:f1:61:c3:91;  fixed-address 10.99.10.16;} #Komputer 06
        host KOMPUTER_02 {hardware ethernet 50:7B:9D:04:CD:0D;  fixed-address 10.99.10.17;} #Komputer 07
        host KOMPUTER_02 {hardware ethernet C8:5B:76:5B:22:05;  fixed-address 10.99.10.18;} #Komputer 08
        #host KOMPUTER_02 {hardware ethernet 00:CC:D1:38:AC:45;  fixed-address 10.99.10.19;} #Komputer 09
}

subnet  10.152.187.0 netmask 255.255.255.0 {
        option routers                  10.152.187.1;
        option subnet-mask              255.255.255.0;
        option broadcast-address        10.152.187.255;
        option domain-name-servers      194.168.4.100;
        option ntp-servers              10.152.187.1;
        option netbios-name-servers     10.152.187.1;
        option netbios-node-type 2;
        default-lease-time 86400;
        max-lease-time 86400;

        host KOMPUTER_11 {hardware ethernet 00:22:AA:66:55:9B;    fixed-address 10.152.187.2;}     #Komputer 11
}

Załóżmy że z tego pliku chcemy wyciągnąć takie informacje jak:

nazwa hosta, adres MAC, adres IP oraz komentarz.

Możemy do tego celu użyć dostępnych w linuxie narzędzi do pracy z tekstem (grep, awk, cut), natomiast dużo łatwiej i szybciej możemy napisać skrypt w Pythonie wykorzystujący bibliotekę textFSM.

Skrypt realizujący to zdanie dhcp.py wygląda następująco:

#!/usr/bin/python
import textfsm

file = open("/etc/dhcpd.conf","r")    
text = file.read()
file.close()
re_table = textfsm.TextFSM(open("dhcp.textfsm"))
fsm_results = re_table.ParseText(text)

for i in fsm_results:
   i[1] = i[1].lower()
   print i[0]+','+i[1]+','+i[2]+','+i[3]

Plik dhcp.textfsm zawierający szablon z wyrażeniami regularnymi ma postać:

Value hostname (\S+)
Value mac ([^ ;]+)
Value ip ([^ ;]+)
Value description (.+)

Start
  ^\s*host\s+${hostname}\s+{hardware\s+ethernet\s+${mac}\S+\s+fixed-address\s+${ip}+\S+\s+#${description} -> Record

Wynik działania powyższego skryptu to:

root@vm01:~# ./dhcp.py

KOMPUTER_01,28:d2:44:fa:2c:49,10.99.10.11,Komputer 01

KOMPUTER_02,00:cc:d1:38:ac:45,10.99.10.12,Komputer 02

KOMPUTER_03,01:ac:d2:33:aa:41,10.99.10.13,Komputer 03

KOMPUTER_04,44:1e:a1:2f:62:a0,10.99.10.14,Komputer 04

KOMPUTER_05,ec:f4:bb:47:0b:0d,10.99.10.15,Komputer 05

KOMPUTER_06,f0:de:f1:61:c3:91,10.99.10.16,Komputer 06

KOMPUTER_02,50:7b:9d:04:cd:0d,10.99.10.17,Komputer 07

KOMPUTER_02,c8:5b:76:5b:22:05,10.99.10.18,Komputer 08

KOMPUTER_11,00:22:aa:66:55:9b,10.152.187.2,Komputer 11

Otrzymaliśmy więc to co chcieliśmy, czyli nazwę hosta, adres MAC, adres IP, oraz komentarz. W celach kosmetycznych skrypt wypisuje wyniki na ekranie oddzielone przecinkami, czyli możemy sobie takie wyniki zaimportować np. do Excela.

OMÓWIENIE SKRYPTU dhcp.py

Przejdźmy teraz do omówienia skryptu linijka po linijce.

#!/usr/bin/python —> powoduje uruchomienie pliku jako program w Pythonie

import textfsm —> import biblioteki textfsm

file=open(„/etc/dhcpd.conf”,”r”) —> do otwarcia pliku wykorzystamy wbudowaną funkcję open, plik otwieramy do odczytu “r”

text=file.read() —> funkcja read() odczytuje zawartość pliku i przypisuje całą zawartość do zmiennej text

file.close() —> funkcja zamykająca plik

re_table=textfsm.TextFSM(open(„dhcp.textfsm”)) —> otwarcie pliku szablonu dhcp.textfsm przez textfsm

fsm_results=re_table.ParseText(text) —> wykonanie parsowania tekstu ze zmiennej text i przypisanie wyniku do listy fsm_results

for i in fsm_results: –> petla for, która przetwarza każdy element z listy fsm_results, przetwarzany element jest również listą

i[1] = i[1].lower() —> dla elementu na drugiej pozycji przetwarzanej listy (w tym przypadku jest to adres MAC, który może być zarówno małymi jak i dużymi literami pisany) wykonaj funkcję lower(), czyli zamień duże na małe litery

print i[0]+’,’+i[1]+’,’+i[2]+’,’+i[3] —> wypisanie na ekranie 4 elementów listy (hostname, adres mac, adres IP, komentarz) przedzielonych przecinkami

OMÓWIENIE SZABLONU dhcp.textfsm

W przypadku braku znajomości wyrażeń regularnych tworzenie szablonu dhcp.textfsm najlepiej wykonywać z wykorzystaniem strony regex101.com. Poniżej screen z tej strony z wyrażeniem regularnych użytym w skrypcie dhcp.py:

Z powyższego screena widać, że wszystkie interesujące nas informacje zostały dopasowane prawidłowo

Group1 – kolor zielony – hostname
Group2 – kolor czerwony – adres MAC
Group3 – kolor pomarańczowy – adres IP
Group4 – kolor fioletowy – komentarz

Jeśli weźmiemy plik dhcp.textfsm:

Value hostname (\S+) 
Value mac ([^ ;]+) 
Value ip ([^ ;]+) 
Value description (.+) 

Start
   ^\s*host\s+${hostname}\s+{hardware\s+ethernet\s+${mac}\S+\s+fixed-address\s+${ip}+\S+\s+#${description} -> Record

i podstawimy do wyrażenia regularnego występującego po słowie Start wyrażenia regularne dla odpowiednich wartości, to otrzymamy dokładnie to wyrażenie które zostało użyte w polu REGULAR EXPRESSION na stronie regex101.com:

^\s*host\s+(\S+)\s+{hardware\s+ethernet\s+([^ ;]+)\S+\s+fixed-address\s+([^ ;]+)+\S+\s+#(.+) -> Record

W powyższym wyrażeniu regularnym korzystamy właściwie tylko z kombinacji znaków które występują w każdej linijce (typu: hardware, ethernet, host, fixed-address) oraz z następujących wzorców:

\s+ spacja występująca raz lub więcej razy

\S+ dowolny znak bez spacji występujących raz lub więcej razy

.+ dowolny znak występujący raz lub więcej razy

[^ ;]+ dowolna kombinacja znaków nie zawierająca spacji oraz średnika występując raz lub więcej razy

W pliku dhcp.textfsm po wyrażeniu regularnym w sekcji Start występuje coś takiego: „-> Record”. Oznacza to tyle, że po znalezieniu dopasowania wyniki są zapisywane do tablicy i następuje analiza kolejnej linii. Dzięki temu możemy otrzymać wiele wyników, a nie tak jak we wpisie o Cisco CLI i textFSM tylko jeden.

Strona regex101.com jest bardzo pomocna w debugowaniu przyczyn błędnego wyciągania informacji przez textfsm. Jeśli nasze wyrażenie regularne po wklejeniu go na stronę oraz tekstu, na którym będzie wykonywanie to wyrażenie nie będzie dopasowywało tak jak tego oczekujemy, to tym bardziej nasz skrypt również tego nie dopasuje.

Nmap w Pythonie

admin — Fri, 29 Sep 2017 21:38:48 +0000

Nmap to potężne narzędzie do skanowania hostów, przydatne miedzy innymi przy wykonywaniu testów penetracyjnych. W poniższym wpisie pokażę jak możemy zautomatyzować pracę z nmapem wykorzystując pythona i bibliotekę python-nmap.

Zacznijmy od instalacji biblioteki python-nmap. W tym celu wykonujemy polecenie:

pip install python-nmap

Collecting python-nmap
 Downloading python-nmap-0.6.1.tar.gz (41kB)
 100% |################################| 51kB 353kB/s
Installing collected packages: python-nmap
 Running setup.py install for python-nmap ... done
Successfully installed python-nmap-0.6.1

Teraz możemy zaimportować bibliotekę do naszego skryptu:

Python 2.7.14 (v2.7.14:84471935ed, Sep 16 2017, 20:25:58) [MSC v.1500 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> import nmap

Przykładowe użycie modułu nmap.py wygląda następująco:

nm = nmap.PortScanner() # stworzenie obiektu nmap.PortScanner
nm.scan('127.0.0.1', '22-443') # skanowanie portów od 22 do 443 hosta o adresie IP 127.0.0.1
nm.command_line() # wyświetlenie komendy użytej do skanowania : nmap -oX - -p 22-443 127.0.0.1
nm.scaninfo() # wyświetlenie informacji dotyczących skanowania {'tcp': {'services': '22-443', 'method': 'connect'}}
nm.all_hosts() # wyświetlenie listy wszystkich przeskanowanych hostów
nm['127.0.0.1'].hostname() # wyświetlenie nazwy hosta dla adresu 127.0.0.1
nm['127.0.0.1'].state() # wyświetlenie statusu hosta o adresie 127.0.0.1 (up|down|unknown|skipped)
nm['127.0.0.1'].has_tcp(135) # sprawdzenie czy są jakieś informacje o porcie tcp/135 hosta 127.0.0.1
nm['127.0.0.1'].all_tcp() # wyświetlenie wszystkich portów TCP (posortowanych)
nm['127.0.0.1'].all_udp() # wyświetlenie wszystkich portów UDP (posortowanych)
nm['127.0.0.1']['tcp'][135]['state'] # wyświetlenie stanu portu 135/tcp hosta 127.0.0.1 (open, closed, filtered)

Sprawdźmy teraz jak to wygląda w praktyce:

Python 2.7.14 (v2.7.14:84471935ed, Sep 16 2017, 20:25:58) [MSC v.1500 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> import nmap
>>> nm = nmap.PortScanner()
>>> nm.scan('127.0.0.1', '22-443')
{'nmap': {'scanstats': {'uphosts': '1', 'timestr': 'Fri Sep 29 21:11:16 2017', 'downhosts': '0', 'totalhosts': '1', 'elapsed': '21.87'}, 'scaninfo': {'tcp': {'services': '22-443', 'method': 'syn'}}, 'command_line': 'nmap -oX - -p 22-443 -sV 127.0.0.1'}, 'scan': {'127.0.0.1': {'status': {'state': 'up', 'reason': 'localhost-response'}, 'hostnames': [{'type': '', 'name': ''}], 'vendor': {}, 'addresses': {'ipv4': '127.0.0.1'}, 'tcp': {137: {'product': '', 'state': 'filtered', 'version': '', 'name': 'netbios-ns', 'conf': '3', 'extrainfo': '', 'reason': 'no-response', 'cpe': ''}, 135: {'product': 'Microsoft Windows RPC', 'state': 'open', 'version': '', 'name': 'msrpc', 'conf': '10', 'extrainfo': '', 'reason': 'syn-ack', 'cpe': 'cpe:/o:microsoft:windows'}}}}}
>>> nm.command_line()
'nmap -oX - -p 22-443 -sV 127.0.0.1'
>>> nm.scaninfo()
{'tcp': {'services': '22-443', 'method': 'syn'}}
>>> nm.all_hosts()
['127.0.0.1']
>>> nm['127.0.0.1'].hostname()
''
>>> nm['127.0.0.1'].state()
'up'
>>> nm['127.0.0.1'].has_tcp(22)
False
>>> nm['127.0.0.1'].all_tcp()
[135, 137]
>>> nm['127.0.0.1'].all_udp()
[]
>>> nm['127.0.0.1']['tcp'][135]['state']
'open'

Wynik skanowania możemy również w łatwy sposób przedstawić w postaci CSV. W tym celu wykonujemy komendę:

>>> nm.csv()
'host;hostname;hostname_type;protocol;port;name;state;product;extrainfo;reason;version;conf;cpe\r\n127.0.0.1;;;tcp;135;msrpc;open;Microsoft Windows RPC;;syn-ack;;10;cpe:/o:microsoft:windows\r\n127.0.0.1;;;tcp;137;netbios-ns;filtered;;;no-response;;3;\r\n'

Napiszmy teraz skrypt, który dla każdego przeskanowanego hosta (w moim przypadku był to tylko jeden host 127.0.0.1) wypisze na ekranie IP, hostname (w moim przypadku hostname jest pusty) oraz status hosta (up/down). Dodatkowo dla każdego z zaskanowanych portów (22-443) skrypt wypisze status portu, oraz protokół tcp/udp.

>> for host in nm.all_hosts():
...         print('----------------------------------------------------')
...         print('Host : %s (%s)' % (host, nm[host].hostname()))
...         print('State : %s' % nm[host].state())
...        for proto in nm[host].all_protocols():
...              print('----------')
...              print('Protocol : %s' % proto)
...
...              lport = nm[host][proto].keys()
...              lport.sort()
...              for port in lport:
...                     print ('port : %s\tstate : %s' % (port, nm[host][proto][port]['state']))

----------------------------------------------------
Host : 127.0.0.1 ()
State : up
----------
Protocol : tcp
port : 135 state : open
port : 137 state : filtered

Cisco CLI + TextFSM

admin — Tue, 26 Sep 2017 19:41:12 +0000

W poprzednich wpisach pokazałem jak można wykorzystać Pythona i biblioteki Netmiko, Paramiko do wydawania komend w Cisco IOS. Tradycyjnie SSH jest używany do łączenia się z urządzeniem sieciowym, wydawania polecenia i zrzutu wyników zwykłego tekstu z powrotem do użytkownika.

W celu automatyzacji niektórych czynności musimy często wyniki z komend sformatować w sposób umożliwiający wydobywanie tylko niektórych informacji. W tym celu możemy posłużyć się biblioteką Pythona textFSM.

Zobaczmy jak korzystając z textFSM przetwarzać wyniki komend CISCO IOS. Do pracy z textFSM przyda się podstawowa wiedza z wyrażeń regularnych, jednak nie jest ona niezbędna. Pokaże jak szybko nauczyć się podstawowych wyrażeń regularnych. Budując wyrażenia regularne będziemy posługiwać się stroną regex101.com.

Przed przystąpieniem do pracy z textFSM musimy go zainstalować:

pip install textfsm
Collecting textfsm
 Downloading textfsm-0.3.2.tar.gz
Installing collected packages: textfsm
 Running setup.py install for textfsm ... done
Successfully installed textfsm-0.3.2

a następnie w skrypcie Pythona musimy go zaimportować:

Python 2.7.14 (v2.7.14:84471935ed, Sep 16 2017, 20:25:58) [MSC v.1500 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> import textfsm

Załóżmy, że chcemy z routera Cisco wyciągnąć takie informacje jak:

hostname,
model,
uptime,
serial number,
ios,
software version.

Skrzystajmy więc z biblioteki netmiko i podłączmy się przez ssh do routera R1 o adresie IP 192.168.174.200 korzystając z użytkownika admin o haśle cisco i wydajmy polecenie show version.

>>> from netmiko import ConnectHandler
>>> cisco = {'device_type':'cisco_ios','ip':'192.168.174.200','username':'admin','password':'cisco'}
>>> net_connect = ConnectHandler(**cisco)
>>> output = net_connect.send_command('show version') 
>>> ssh_connection.disconnect()
>>> print output

Wynik komendy show version najlepiej zapisać w notatniku, bo przyda nam się do zbudowania wyrażeń regularnych:

Cisco IOS Software, 7200 Software (C7200-JK9S-M), Version 12.4(13b), RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 25-Apr-07 03:18 by prod_rel_team

ROM: ROMMON Emulation Microcode
BOOTLDR: 7200 Software (C7200-JK9S-M), Version 12.4(13b), RELEASE SOFTWARE (fc3)

R1 uptime is 1 minute
System returned to ROM by unknown reload cause - suspect boot_data[BOOT_COUNT] 0x0, BOOT_COUNT 0, BOOTDATA 19
System image file is "tftp://255.255.255.255/unknown"

This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 7206VXR (NPE400) processor (revision A) with 491520K/32768K bytes of memory.
Processor board ID 4279256517
R7000 CPU at 150MHz, Implementation 39, Rev 2.1, 256KB L2 Cache
6 slot VXR midplane, Version 2.1

Last reset from power-on

PCI bus mb0_mb1 (Slots 0, 1, 3 and 5) has a capacity of 600 bandwidth points.
Current configuration on bus mb0_mb1 has a total of 600 bandwidth points.
This configuration is within the PCI bus capacity and is supported.

PCI bus mb2 (Slots 2, 4, 6) has a capacity of 600 bandwidth points.
Current configuration on bus mb2 has a total of 0 bandwidth points
This configuration is within the PCI bus capacity and is supported.

Please refer to the following document "Cisco 7200 Series Port Adaptor
Hardware Configuration Guidelines" on Cisco.com /
for c7200 bandwidth points oversubscription and usage guidelines.

3 FastEthernet interfaces
509K bytes of NVRAM.

8192K bytes of Flash internal SIMM (Sector size 256K).
Configuration register is 0x2102

Przykładowe użycie biblioteki wygląda następująco:

>>> re_table = textfsm.TextFSM(open("template.textfsm"))
>>> fsm_results = re_table1.ParseText(output)

gdzie output to surowy tekst wyniku naszej komendy show version, a template.textfsm to plik zawierający szablon z wyrażeniami regularnymi dla naszej komendy show version i informacji które chcemy z niej wyciągnąć.

template.textfsm

Value hostname (\S+)
Value model (\S+)
Value uptime (.+)
Value serial ([^ ,]+)
Value ios (\S+)
Value version ([^ ,]+)
Start
 ^.*Software.*Version\s+${version}
 ^${hostname}\s+uptime\s+is\s+${uptime}
 ^Cisco\s+${model}.+
 ^System\s+image\s+file\s+is\s+.${ios}.
 ^Processor\s+board\s+ID\s+${serial}

Sprawdźmy co zawiera zmienna fsm_results:

>>> print fsm_results
[[u'R1', u'7206VXR', u'4 weeks, 1 day, 8 hours, 19 minutes', u'4279256517', u'tftp://255.255.255.255/unknown', u'12.4(13b)']]

Jest to tablica, z której w łatwy sposób możemy wyciągnać interesującą nas rzecz. Np. jeśli chcemy wyświetlić sam numer seryjny routera, wystarczy że wpiszemy:

>> fsm_results[0][3]
u'4279256517'

Pokażę teraz jak stworzyć zawartość pliku template.textfsm. Otwórzmy stronę regex101.com i wklejmy w polu TEST STRING wynik komendy show version:

Strona powyższa pozwoli nam przetestować regex, który wyciąga odpowiednią informację. Najważniejsze regexy które należy znać to:

\s+ spacja występująca raz lub więcej razy

\S+ dowolny znak bez spacji występujących raz lub więcej razy

.+ dowolny znak występujący od 1 do nieskończoności razy

Jeśli nie znamy wyrażeń regularnych możemy skorzystać z pomocy na stronie regex101.com. Weźmy wyrażenie regularne którego nie znamy, np. [^ ,]+ i wklejmy w pole REGULAR EXPRESSION, otrzymamy taki wynik:

Po prawej stronie mamy wyjaśnienie (EXPLANATION) co robi dane wyrażenie regularne. W tym przypadku jest to dowolna znak, oprócz spacji i przecinka które występujący raz lub więcej razy.

Wróćmy teraz do textFSM. Zawartość pliku template.textfsm wygląda następująco:

Value   wartosc1     regex
Value   wartosc2     regex
Start
^regex    ${wartosc1}
^regex    ${wartosc2}

Domyślnie textFSM działa następująco. Parser textFSM tworzy tablice wartości [wartosc1,wartosc2,..] na podstawie szablonu template.textfsm. Najpierw sprawdzana jest pierwsza linijka tekstu – w moim przypadku jest to tekst ze zmiennej output (re_table1.ParseText(output)) i sprawdzane są wyrażenia regularne po kolei (Start ^regex -> ^regex …). Jeśli któreś wyrażenie regularne dla danej wartości pasuje, to zapisywana jest wartość wyrażenia regularnego do buforu. Następnie sprawdzana jest druga linijka i również dla drugiej linijki sprawdzane są wyrażenia regularne po kolei tak jak dla pierwszej linijki, jak któreś z nich pasuje, to zapisywana jest wartość tego wyrażenia do buforu. Na końcu bufor zawiera wartości dla pól Value, które są w takiej kolejności jak zadeklarowane wartości w pliku template.textfsm.

Najlepiej pokazać tworzenie zawartości pliku textfsm na przykladzie. Weźmy teraz dla przykładu ios. Do wyciągnięcia informacji o pliku z systemem IOS musimy stworzyć regex o postaci:

Jak widać z powyższego zrzutu ekranu, dokładnie taki regex wyciągnie nam informacje o IOS.

Value ios (\S+) 

^System\s+image\s+file\s+is\s+.${ios}.

Więcej gotowych szablonów dla różnych komend dla różnych urządzeń znajduje się pod poniższym linkiem.

Polecam naukę wyrażeń regularnych, bo przydają się one bardzo często, chociażby do takich czynności jak praca z textfsm, które jest bardzo pomocnym narzędziem do automatyzacji pracy z urządzeniami sieciowymi.

CISCO + Python + Paramiko

admin — Thu, 21 Sep 2017 22:43:24 +0000

Python i biblioteka Paramiko umożliwiają korzystanie z połączeń SSH z urządzeniami CISCO. W poniższym wpisie pokaże jak wykonać dowolną komendę na urządzeniu z CISCO IOS przy pomocy skryptu Python z wykorzystaniem Paramiko.

Przy pomocy biblioteki Paramiko jesteśmy w stanie osiągnąć ten sam efekt który opisywałem we wpisie o bibliotece Netmiko. Jedyna różnica jest taka, że biblioteka Netmiko umożliwiała również połączenia telnet, natomiast Paramiko wspiera tylko SSH.

W celu zainstalowania biblioteki paramiko wykonujemy następującą komendę:

pip install paramiko

PIERWSZY SKRYPT

Najpierw musimy zaimportować bibliotekę paramiko, a następnie tworzymy obiekt SSHClient:

Python 2.7.14 (v2.7.14:84471935ed, Sep 16 2017, 20:25:58) [MSC v.1500 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> import paramiko
>>> ssh = paramiko.SSHClient()

W moim przypadku chcę się podłączyć przez ssh do routera R1 o adresie IP 192.168.174.200 korzystając z użytkownika admin o haśle cisco:

>>> ssh.connect('192.168.174.200',port=22,username='admin',password='cisco')
Traceback (most recent call last):
 File "", line 1, in 
 File "C:\Python27\lib\site-packages\paramiko\client.py", line 395, in connect
 self, server_hostkey_name, server_key
 File "C:\Python27\lib\site-packages\paramiko\client.py", line 752, in missing_host_key
 raise SSHException('Server %r not found in known_hosts' % hostname)
paramiko.ssh_exception.SSHException: Server '192.168.174.200' not found in known_hosts

Powyższa komenda zwróciła błąd, ponieważ przy używaniu metody connect paramiko sprawdza czy klucz publiczny hosta jest w pliku known_hosts, w tym przypadku go nie ma więc jest zwracany błąd. Możemy to obejść wykonując poniższą komendę:

>>> ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())

Po wydaniu tej komendy klucz dodawany jest automatycznie do pliku known_hosts. Spróbujmy się teraz połączyć do urządzenia:

>>> ssh.connect('192.168.174.200',port=22,username='admin',password='cisco')

Komenda nie zwróciła błędu, czyli nastąpiło połączenie ssh do routera, można to zweryfikować logując się na urządzenie i wydając komendę: show users

R1#show users
 Line User Host(s) Idle Location
* 0 con 0 idle 00:00:00
 2 vty 0 admin idle 00:00:05 192.168.174.1

Interface User Mode Idle Peer Address

Teraz możemy wykonać dowolną komendę i wypisać ją na ekranie:

>> stdin, stdout, stderr = ssh.exec_command('show ip int brief')
>>> output = stdout.readlines()
>>> print output
[u'\r\n', u'Interface IP-Address OK? Method Status Protocol\r\n', u'FastEthernet0/0 192.168.174.200 YES NVRAM up up \r\n', u'FastEthernet1/0 10.0.10.1 YES NVRAM up up \r\n', u'FastEthernet1/1 unassigned YES NVRAM administratively down down ']

W wyniku otrzymaliśmy listę, w celu wypisania jej w bardziej przystępnej postaci na ekranie musimy użyć funkcji join

>>> print ”.join(output)

Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 192.168.174.200 YES NVRAM up up 
FastEthernet1/0 10.0.10.1 YES NVRAM up up 
FastEthernet1/1 unassigned YES NVRAM administratively down down

W dalszych wpisach pokażę więcej możliwości i przykładowe skrypty z wykorzystaniem biblioteki paramiko.

CISCO + Python + Netmiko

admin — Wed, 20 Sep 2017 23:48:17 +0000

Python i biblioteka Netmiko mogą stanowić fantastyczne uzupełnienie codziennej pracy z urządzeniami CISCO. W poniższym wpisie pokaże jak wykonać dowolną komendę na urządzeniu z CISCO IOS przy pomocy skryptu Python.

Biblioteka netmiko wspiera oprócz urządzeń Cisco również masę innych produktów takich jak:

Regularly tested

Arista vEOS
Cisco ASA
Cisco IOS
Cisco IOS-XE
Cisco IOS-XR
Cisco NX-OS
Cisco SG300
HP Comware7
HP ProCurve
Juniper Junos
Linux

Limited testing

Alcatel AOS6/AOS8
Avaya ERS
Avaya VSP
Brocade VDX
Brocade ICX/FastIron
Brocade MLX/NetIron
Cisco WLC
Dell-Force10 DNOS9
Dell PowerConnect
Huawei
Mellanox
Palo Alto PAN-OS
Pluribus
Ubiquiti EdgeOS
Vyatta VyOS

Experimental

A10
Accedian
Alcatel-Lucent SR-OS
Aruba
Ciena SAOS
Cisco Telepresence
CheckPoint Gaia
Enterasys
Extreme EXOS
Extreme Wing
F5 LTM
Fortinet
MRV Communications OptiSwitch

W celu zainstalowania biblioteki netmiko wykonujemy następującą komendę:

pip install netmiko

Collecting netmiko
 Downloading netmiko-1.4.3.tar.gz (47kB)
 100% |################################| 51kB 287kB/s
Collecting paramiko>=1.13.0 (from netmiko)
 Downloading paramiko-2.3.1-py2.py3-none-any.whl (182kB)
 100% |################################| 184kB 975kB/s
Collecting scp>=0.10.0 (from netmiko)
 Downloading scp-0.10.2-py2.py3-none-any.whl
Collecting pyyaml (from netmiko)
 Downloading PyYAML-3.12-cp27-cp27m-win_amd64.whl (197kB)
 100% |################################| 204kB 1.2MB/s
Collecting pynacl>=1.0.1 (from paramiko>=1.13.0->netmiko)
 Downloading PyNaCl-1.1.2-cp27-cp27m-win_amd64.whl (130kB)
 100% |################################| 133kB 1.2MB/s
Collecting cryptography>=1.5 (from paramiko>=1.13.0->netmiko)
 Downloading cryptography-2.1.2-cp27-cp27m-win_amd64.whl (1.3MB)
 100% |################################| 1.3MB 660kB/s
Collecting bcrypt>=3.1.3 (from paramiko>=1.13.0->netmiko)
 Downloading bcrypt-3.1.4-cp27-cp27m-win_amd64.whl
Collecting pyasn1>=0.1.7 (from paramiko>=1.13.0->netmiko)
 Downloading pyasn1-0.3.7-py2.py3-none-any.whl (63kB)
 100% |################################| 71kB 2.5MB/s
Collecting six (from pynacl>=1.0.1->paramiko>=1.13.0->netmiko)
 Downloading six-1.11.0-py2.py3-none-any.whl
Collecting cffi>=1.4.1 (from pynacl>=1.0.1->paramiko>=1.13.0->netmiko)
 Downloading cffi-1.11.2-cp27-cp27m-win_amd64.whl (163kB)
 100% |################################| 163kB 2.4MB/s
Collecting idna>=2.1 (from cryptography>=1.5->paramiko>=1.13.0->netmiko)
 Downloading idna-2.6-py2.py3-none-any.whl (56kB)
 100% |################################| 61kB 4.4MB/s
Collecting enum34; python_version < "3" (from cryptography>=1.5->paramiko>=1.13.0->netmiko)
 Downloading enum34-1.1.6-py2-none-any.whl
Collecting asn1crypto>=0.21.0 (from cryptography>=1.5->paramiko>=1.13.0->netmiko)
 Downloading asn1crypto-0.23.0-py2.py3-none-any.whl (99kB)
 100% |################################| 102kB 2.4MB/s
Collecting ipaddress; python_version < "3" (from cryptography>=1.5->paramiko>=1.13.0->netmiko)
 Downloading ipaddress-1.0.18-py2-none-any.whl
Collecting pycparser (from cffi>=1.4.1->pynacl>=1.0.1->paramiko>=1.13.0->netmiko)
 Downloading pycparser-2.18.tar.gz (245kB)
 100% |################################| 256kB 2.6MB/s
Installing collected packages: six, pycparser, cffi, pynacl, idna, enum34, asn1crypto, ipaddress, cryptography, bcrypt, pyasn1, paramiko, scp, pyyaml, netmiko
 Running setup.py install for pycparser ... done
 Running setup.py install for netmiko ... done
Successfully installed asn1crypto-0.23.0 bcrypt-3.1.4 cffi-1.11.2 cryptography-2.1.2 enum34-1.1.6 idna-2.6 ipaddress-1.0.18 netmiko-1.4.3 paramiko-2.3.1 pyasn1-0.3.7 pycparser-2.18 pynacl-1.1.2 pyyaml-3.12 scp-0.10.2 six-1.11.0

PIERWSZY SKRYPT

Najpierw musimy zaimportować funkcję ConnectHandler z biblioteki netmiko. Następnie definiujemy słownik urządzeń sieciowych składający się z typu urządzenia, adresu IP, nazwy użytkownika i hasła, który reprezentuje urządzenie do którego chcemy nawiązać połączenie ssh. (netmiko umożliwia również połączenia telnet, należy w tym celu zmienić device_type z cisco_ios na cisco_ios_telnet).

W moim przypadku chcę się podłączyć przez ssh do routera R1 o adresie IP 192.168.174.200 korzystając z użytkownika admin o haśle cisco.

Python 2.7.14 (v2.7.14:84471935ed, Sep 16 2017, 20:25:58) [MSC v.1500 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> from netmiko import ConnectHandler
>>> cisco = {'device_type':'cisco_ios','ip':'192.168.174.200','username':'admin','password':'cisco'}
>>> net_connect = ConnectHandler(**cisco)

Po wydaniu ostatniej komendy net_connect = ConnectHandler(**cisco) następuję połączenie ssh do routera, można to zweryfikować logując się na urządzenie i wydając komendę: show users

R1#show users
 Line User Host(s) Idle Location
* 0 con 0 idle 00:00:00
 2 vty 0 admin idle 00:09:25 192.168.174.1

Interface User Mode Idle Peer Address

Teraz możemy wykonać dowolną komendę i wypisać ją na ekranie:

>>> output = net_connect.send_command('show ip int brief')
>>> print output
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 192.168.174.200 YES manual up up
FastEthernet1/0 10.0.10.1 YES NVRAM up up
FastEthernet1/1 unassigned YES NVRAM administratively down down

>>> output = net_connect.send_command('show run')
>>> print output
 Building configuration...

Current configuration : 1175 bytes
 !
 ! Last configuration change at 17:59:31 UTC Wed Oct 25 2017
 !
 version 15.2
 service timestamps debug datetime msec
 service timestamps log datetime msec
 !
 hostname R1
 !
 boot-start-marker
 boot-end-marker
 !
 !
 !
 no aaa new-model
 no ip icmp rate-limit unreachable
 ip cef
 !
 !
 !
 no ip domain lookup
 ip domain name cisco
 no ipv6 cef
 !
 !
 multilink bundle-name authenticated
 !
 !
 !
 username admin privilege 15 secret 5 $1$EVqH$s80zvoLdjFQM88a6ifTpA/
 !
 !
 ip tcp synwait-time 5
 !
 !
 !
 interface FastEthernet0/0
 ip address 192.168.174.200 255.255.255.0
 duplex full
 !
 interface FastEthernet1/0
 ip address 10.0.10.1 255.255.255.0
 speed auto
 duplex auto
 !
 interface FastEthernet1/1
 no ip address
 shutdown
 speed auto
 duplex auto
 !
 ip forward-protocol nd
 !
 !
 ip http server
 no ip http secure-server
 ip route 0.0.0.0 0.0.0.0 192.168.174.1
 !
 !
 !
 control-plane
 !
 !
 line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
 line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
 line vty 0 4
 login local
 transport input ssh
 !
 !
 end

Kilka przydatnych metod dostępnych w netmiko:

net_connect.config_mode() — Enter into config mode
net_connect.check_config_mode() — Check if you are in config mode, return a boolean
net_connect.exit_config_mode() — Exit config mode
net_connect.clear_buffer() — Clear the output buffer on the remote device
net_connect.enable() — Enter enable mode
net_connect.exit_enable_mode() — Exit enable mode
net_connect.find_prompt() — Return the current router prompt
net_connect.commit(arguments) — Execute a commit action on Juniper and IOS-XR
net_connect.disconnect() — Close the SSH connection
net_connect.send_command(arguments) — Send command down the SSH channel, return output back
net_connect.send_config_set(arguments) — Send a set of configuration commands to remote device
net_connect.send_config_from_file(arguments) — Send a set of configuration commands loaded from a file

W dalszych wpisach pokażę więcej możliwości i przykładowe skrypty z wykorzystaniem biblioteki netmiko.