skrypt – RSNET.PL https://kubsoo.github.io/rsnet-website/ wszystko o sieciach komputerowych Sat, 22 Feb 2020 11:40:47 +0000 pl-PL hourly 1 https://wordpress.org/?v=4.9.8 Palo Alto API tworzenie reguł – Python skrypt https://kubsoo.github.io/rsnet-website/palo-alto-api-reguly-python-skrypt/ https://kubsoo.github.io/rsnet-website/palo-alto-api-reguly-python-skrypt/#respond Mon, 19 Mar 2018 19:33:04 +0000 https://kubsoo.github.io/rsnet-website/?p=1030

Korzystając z API możemy na firewallach Palo Alto dodawać reguły bezpieczeństwa bez konieczności otwierania interfejsu do zarządzania i tworzenia reguł wybierając odpowiednie opcje z menu.

 

ŚRODOWISKO

Do celów demonstracji możliwości tworzenia reguł bezpieczeństwa przy pomocy API na urządzeniach Palo Alto posłużyłem się topologią zbudowaną w GNS3, tą samą co w tym wpisie

TOPOLOGIA

 

SKRYPT

Skrypt tworzący regułę bezpieczeństwa, przenoszący ją w odpowiednie miejsce a na końcu robiący commit zmian wygląda następująco:

config_palo.py

#!/usr/bin/python

import requests, getpass, re

## list of firewalls
firewalls_ip = [
 '192.168.0.201',
 '192.168.0.202',
 '192.168.0.203',
]

## login and password for firewall
username = raw_input("Please enter your username: ") 
password = getpass.getpass("Please enter your password: ")

## generate api key
url = "https://192.168.0.201/api/?type=keygen&user={}&password={}"
response = requests.get(url.format(username,password), verify=False)
response.raise_for_status()
regex = re.compile(r'<key>(.*)<\/key>')
key = regex.findall(response.text)[0]
print ("\nYour API key is: %s\n") % (key)

rule_path = "/config/devices/entry[@name='localhost.localdomain']/vsys/entry[@name='vsys1']/rulebase/security/rules"
rule_name = "permit_any"

rule = """
 <entry name="{}">
 <to>
 <member>any</member>
 </to>
 <from>
 <member>any</member>
 </from>
 <source>
 <member>any</member>
 </source>
 <destination>
 <member>any</member>
 </destination>
 <source-user>
 <member>any</member>
 </source-user>
 <category>
 <member>any</member>
 </category>
 <application>
 <member>any</member>
 </application>
 <service>
 <member>any</member>
 </service>
 <hip-profiles>
 <member>any</member>
 </hip-profiles>
 <action>deny</action>
 <log-start>no</log-start>
 <description>permit any any rule</description>
 <disabled>no</disabled>
 </entry>
"""

for ip in firewalls_ip:

 print ("Adding security rule to: %s\n") % (ip)
 url = "https://"+ip+"/api/?type=config&action=set&key={}&xpath={}&element={}"

 response = requests.post(url.format(key,rule_path,rule.format(rule_name)), verify=False)
 response.raise_for_status()
 print (response.text)

 print ("Moving security rule ...\n")
 move = raw_input("Do you want to move security rule ? (y/n) ")
 if move == "y":
  rule_pos = raw_input("Insert rule name after which you want to place new rule: ")
  url = "https://"+ip+"/api/?type=config&action=move&key={}&xpath={}/entry[@name='{}']&where=after&dst={}"
  response = requests.get(url.format(key,rule_path,rule_name,rule_pos), verify=False)
  response.raise_for_status()
  print (response.text)

 print ("Commiting changes ...\n")
 commit = raw_input("Are you sure you want to commit ? (y/n) ")
 if commit == "y":
  url = "https://"+ip+"/api/?type=commit&key={}&cmd=<commit></commit>"
  commit_response = requests.post(url.format(key),verify=False)
  commit_response.raise_for_status()
  print (response.text)
 else:
  print ("Commit cancelled !\n")

Cały skrypt można ściągnąć pod tym linkiem.

Opis skryptu:

  1. Lista IP z firewallami na których chcemy stworzyć regułę bezpieczeństwa:
firewalls_ip = [
 '192.168.0.201',
 '192.168.0.202',
 '192.168.0.203',
]

2. Stworzenie klucza API KEY przy pomocy logowania użytkownikiem i hasłem do jednego z firewalli z listy (pod warunkiem ze na każdym FW mamy tego samego użytkownika i hasło, w innym przypadku klucz musimy generować dla każdego z FW osobno)

## login and password for firewall
username = raw_input("Please enter your username: ") 
password = getpass.getpass("Please enter your password: ")

## generate api key
url = "https://192.168.0.201/api/?type=keygen&user={}&password={}"
response = requests.get(url.format(username,password), verify=False)
response.raise_for_status()
regex = re.compile(r'(.*)<\/key>')
key = regex.findall(response.text)[0]
print ("\nYour API key is: %s\n") % (key)

3. Stworzenie zmiennej o nazwie „rule” zawierającej regułę w postaci xml. Można taką regułę odczytać z pliku xml z konfiguracją. W powyższym skrypcie reguła zezwala na cały ruch z każdej strefy i każdego adresu do każdej strefy i do każdego adresu (allow any any)

rule_path = "/config/devices/entry[@name='localhost.localdomain']/vsys/entry[@name='vsys1']/rulebase/security/rules"
rule_name = "permit_any"

rule = """
 <entry name="{}">
 <to>
 <member>any</member>
 </to>
 <from>
 <member>any</member>
 </from>
 <source>
 <member>any</member>
 </source>
 <destination>
 <member>any</member>
 </destination>
 <source-user>
 <member>any</member>
 </source-user>
 <category>
 <member>any</member>
 </category>
 <application>
 <member>any</member>
 </application>
 <service>
 <member>any</member>
 </service>
 <hip-profiles>
 <member>any</member>
 </hip-profiles>
 <action>deny</action>
 <log-start>no</log-start>
 <description>permit any any rule</description>
 <disabled>no</disabled>
 </entry>
"""

4. Tworzenie reguły dla każdego firewalla z listy firewalls_ip:

for ip in firewalls_ip:

  print ("Adding security rule to: %s\n") % (ip)
  url = "https://"+ip+"/api/?type=config&action=set&key={}&xpath={}&element={}"
 
  response = requests.post(url.format(key,rule_path,rule.format(rule_name)), verify=False)
  response.raise_for_status()
  print (response.text)

5. Reguła stworzona w poprzednim punkcie jest tworzona i dodawana do konfiguracji na końcu. Zmianę miejsca reguły realizuje poniższy fragment skryptu:

 print ("Moving security rule ...\n")
 move = raw_input("Do you want to move security rule ? (y/n) ")
 if move == "y":
   rule_pos = raw_input("Insert rule name after which you want to place new rule: ")
   url = "https://"+ip+"/api/?type=config&action=move&key={}&xpath={}/entry[@name='{}']&where=after&dst={}"
   response = requests.get(url.format(key,rule_path,rule_name,rule_pos), verify=False)
   response.raise_for_status()
   print (response.text)

6. Commit zmian:

 print ("Commiting changes ...\n")
 commit = raw_input("Are you sure you want to commit ? (y/n) ")
 
 if commit == "y":
   url = "https://"+ip+"/api/?type=commit&key={}&cmd=<commit></commit>"
   commit_response = requests.post(url.format(key),verify=False)
   commit_response.raise_for_status()
   print (response.text)
 else:
   print ("Commit cancelled !\n")

Sprawdźmy działanie skryptu w praktyce:

Na początek sprawdźmy jak wygląda zakładka Policies -> Security na każdym z firewalli:

 

Teraz uruchamiamy skrypt…

root@NetworkAutomation-1:~# ./config_palo.py
Please enter your username: admin
Please enter your password:
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
  InsecureRequestWarning)

Your API key is: LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09

Adding security rule to: 192.168.0.201

/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
  InsecureRequestWarning)
<response status="success" code="20"><msg>command succeeded</msg></response>
Moving security rule ...

Do you want to move security rule ? (y/n) n
Commiting changes ...

Are you sure you want to commit ? (y/n) y
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
  InsecureRequestWarning)
<response status="success" code="20"><msg>command succeeded</msg></response>
Adding security rule to: 192.168.0.202

/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
  InsecureRequestWarning)
<response status="success" code="20"><msg>command succeeded</msg></response>
Moving security rule ...

Do you want to move security rule ? (y/n) n
Commiting changes ...

Are you sure you want to commit ? (y/n) y
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
  InsecureRequestWarning)
<response status="success" code="20"><msg>command succeeded</msg></response>
Adding security rule to: 192.168.0.203

/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
  InsecureRequestWarning)
<response status="success" code="20"><msg>command succeeded</msg></response>
Moving security rule ...

Do you want to move security rule ? (y/n) n
Commiting changes ...

Are you sure you want to commit ? (y/n) y
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
  InsecureRequestWarning)
<response status="success" code="20"><msg>command succeeded</msg></response>

Skrypt wykonał się z ostrzeżeniami, ale możemy je zignorować. Pojawiły się one, ponieważ wszystkie urządzenia posiadają domyślne certyfikaty, które nie są zaufane.

Zobaczmy teraz jak wyglądają polityki bezpieczeństwa po działaniu skryptu:

 

 
PODSUMOWANIE

Jak widać API na urządzeniach Palo Alto umożliwia w łatwy sposób tworzyć reguły bezpieczeństwa. Jest to bardzo przydatne w sytuacji, gdy musimy tą samą regułę stworzyć na wielu urządzeniach.

]]> https://kubsoo.github.io/rsnet-website/palo-alto-api-reguly-python-skrypt/feed/ 0 Palo Alto API backup konfiguracji – Python skrypt https://kubsoo.github.io/rsnet-website/palo-alto-api-backup-konfiguracji-python-skrypt/ https://kubsoo.github.io/rsnet-website/palo-alto-api-backup-konfiguracji-python-skrypt/#respond Thu, 28 Dec 2017 19:45:32 +0000 https://kubsoo.github.io/rsnet-website/?p=998

Korzystając z API możemy na firewallach Palo Alto wykonywać komendy przez przeglądarkę jednym zapytaniem bez konieczności otwierania interfejsu do zarządzania i klikania po menu.

 

 

PRZYKŁAD

Do celów demonstracji możliwości API na Palo Alto posłużyłem się topologią zbudowaną z GNS3 składającą się z 3 firewalli, switcha oraz dwóch maszyn wirtualnych (gns3-webterm – do dostepu do API przez przeglądarkę, oraz NetworkAutomation – maszyna z pythonem na której będziemy pisać skrypt).

TOPOLOGIA

API

W celu dostępu do API musimy wygenerować klucz API, który będzie wykorzystywany do zapytań do API. Klucz jest generowany z użytkownika i hasła, więc jeśli posiadamy kilka firewalli i na każdym z nich mamy tego samego usera i hasło to klucz będzie taki sam dla każdego urządzenia.

Do generacji klucza służy następujące zapytanie:

https://firewall_ip/api/?type=keygen&user=username&password=password

Sprawdźmy jak to wygląda na żywo. W tym celu wchodzimy do gns3-webterm i wpisujemy w przeglądarce podany URL zamieniając firewall_ip na jeden z adresów IP firewalli oraz wpisując poprawny login i hasło:

https://192.168.0.201/api/?type=keygen&user=admin&password=admin

Jak widać z powyższego screena dostaliśmy w odpowiedzi plik XML, który zawiera klucz postaci:

LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09

To samo możemy uzyskać na maszynie NetworkAutomation korzystając z programu curl i komendy:

root@NetworkAutomation-1:~# curl -X GET 'https://192.168.0.201/api/?type=keygen&user=admin&password=admin' --insecure

<response status = 'success'><result><key>LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09</key></result></response>

Po otrzymaniu klucza możemy wykonać jakąś komendę przez API. Listę komend i składnię zapytań możemy znaleźć wpisując w przeglądarce https://firewall_ip/api

Do eksportu konfiguracji służy zapytanie postaci:

https://firewall_ip/api/?type=export&category=configuration&key=<key>

gdzie <key> to klucz otrzymany z wcześniejszej komendy. Całe zapytanie wygląda więc następująco:

https://192.168.0.201/api/?type=export&category=configuration&key=LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09
W odpowiedzi dostaniemy plik xml z konfiguracją:

Spróbujmy teraz to samo uzyskać korzystając z curl’a:

root@NetworkAutomation-1:~# curl -X GET 'https://192.168.0.201/api/?type=export&category=configuration&key=LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09' --insecure
<config version="7.1.0" urldb="paloaltonetworks"><mgt-config><users><entry name="admin"><phash>fnRL/G5lXVMug</phash><permissions><role-based><superuser>yes</superuser></role-based></permissions></entry></users></mgt-config><shared><application/><application-group/><service/><service-group/><botnet><configuration><http><dynamic-dns><enabled>yes</enabled><threshold>5</threshold></dynamic-dns><malware-sites><enabled>yes</enabled><threshold>5</threshold></malware-sites><recent-domains><enabled>yes</enabled><threshold>5</threshold></recent-domains><ip-domains><enabled>yes</enabled><threshold>10</threshold></ip-domains><executables-from-unknown-sites><enabled>yes</enabled><threshold>5</threshold></executables-from-unknown-sites></http><other-applications><irc>yes</irc></other-applications><unknown-applications><unknown-tcp><destinations-per-hour>10</destinations-per-hour><sessions-per-hour>10</sessions-per-hour><session-length><maximum-bytes>100</maximum-bytes><minimum-bytes>50</minimum-bytes></session-length></unknown-tcp><unknown-udp><destinations-per-hour>10</destinations-per-hour><sessions-per-hour>10</sessions-per-hour><session-length><maximum-bytes>100</maximum-bytes><minimum-bytes>50</minimum-bytes></session-length></unknown-udp></unknown-applications></configuration> ........

Widzimy, że otrzymaliśmy ten sam plik xml. Teraz możemy spróbować napisać skrypt, który wykona tą operację za nas i zapisze taki plik na dysk, dla każdego z firewalli.

 
SKRYPT

Skrypt jest bardzo prosty i wygląda nastepująco:

backup_config.py

#!/usr/bin/python

import requests, datetime
from lxml import etree

firewalls_ip = [
 '192.168.0.201',
 '192.168.0.202',
 '192.168.0.203'
]

date_1 = datetime.datetime.now().strftime("%Y-%m-%d_%H:%M")
key = 'LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09'

params = (
 ('type', 'export'),
 ('category', 'configuration'),
 ('key', key),
)

for hostname in firewalls_ip:
 print "Saving config for : %s" %hostname
 url = "https://"+hostname+"/api/"
 response = requests.get(url, params=params, verify=False)
 xml_str = response.text
 root = etree.fromstring(xml_str)

 filename = "running-config-"+hostname+"-"+date_1+".xml"
 file = open(filename,"w")
 file.write("""\n""")
 file.write(etree.tostring(root, pretty_print=True))
 file.close()

Sprawdźmy jego działanie w praktyce:

root@NetworkAutomation-1:~# ./backup_config.py
Saving config for : 192.168.0.201
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
 InsecureRequestWarning)
Saving config for : 192.168.0.202
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
 InsecureRequestWarning)
Saving config for : 192.168.0.203
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
 InsecureRequestWarning)

Skrypt wykonał się z ostrzeżeniami, ale możemy je zignorować. Pojawiły się one, ponieważ wszystkie urządzenia posiadają domyślne certyfikaty, które nie są zaufane.

Sprawdźmy teraz jak wygląda katalog w którym jest skrypt:

-rwxr-xr-x 1 root root 809 Dec 28 19:36 backup_config.py
-rw-r--r-- 1 root root 9161 Dec 28 19:36 running-config-192.168.0.201-2017-12-28_19:36.xml
-rw-r--r-- 1 root root 9161 Dec 28 19:36 running-config-192.168.0.202-2018-12-28_19:36.xml
-rw-r--r-- 1 root root 9161 Dec 28 19:36 running-config-192.168.0.203-2018-12-28_19:36.xml

Widać, że stworzone zostały trzy pliki zgodnie z oczekiwaniami dla każdego z firewalli. Otwórzmy teraz jeden z nich i zobaczmy jak wygląda:

root@NetworkAutomation-1:~# cat running-config-192.168.0.201-2017-12-28_19:36.xml

<?xml version="1.0"?>
<config version="7.1.0" urldb="paloaltonetworks">
  <mgt-config>
    <users>
      <entry name="admin">
         <phash>fnRL/G5lXVMug</phash>
         <permissions>
           <role-based>
             <superuser>yes</superuser>
           </role-based>
         </permissions>
      </entry>
    </users>
  </mgt-config>
  <shared>
    <application/>
    <application-group/>
    <service/>
    <service-group/>
    <botnet>
       <configuration>
         <http>
           <dynamic-dns>
             <enabled>yes</enabled>
             <threshold>5</threshold>
           </dynamic-dns>
     ...

 

PODSUMOWANIE

Jak widać API na urządzeniach Palo Alto umożliwia w łatwy sposób eksportować konfigurację, dzięki czemu w przypadku awarii urządzenia mamy kopię konfiguracji. Jest to bardzo przydatne zwłaszcza w sytuacji gdy mamy wiele firewalli do administracji. W kolejnych wpisach pokaże więcej możliwości wykorzystania API na urządzeniach Palo Alto.

]]> https://kubsoo.github.io/rsnet-website/palo-alto-api-backup-konfiguracji-python-skrypt/feed/ 0