Extrair ACL do CSM no formato CSV através do método API

Opções de download

  • PDF     (1.1 MB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:5 de janeiro de 2021
ID do documento:216550

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como extrair as Listas de Controle de Acesso (ACL - Access Control Lists), no formato CSV (Comma-Separated Values), de um dispositivo gerenciado pelo Cisco Security Manager (CSM) através do Método de API do CSM.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Cisco Security Manager (CSM)
    • API CSM
    • conhecimento básico de API

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Servidor CSM
    • Licença da API do CSM 
      Product Name: L-CSMPR-API
Product Description: L-CSMPR-API : Cisco Security Manager Pro - License to enable API Access
    • Dispositivo de segurança adaptativa (ASA) gerenciado pelo CSM
    • Um cliente de API. Você pode usar cURL, Python ou Postman. Este artigo demonstra todo o processo com Postman.

      O aplicativo cliente CSM deve ser fechado. Se um aplicativo cliente CSM estiver aberto, ele deverá ser usado por um usuário diferente daquele que usa o método API. Caso contrário, a API retornará um erro. Para pré-requisitos adicionais para usar o recurso de API, você pode usar o próximo guia. Pré-requisitos de API

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    O Cisco Security Manager (CSM) tem algumas funcionalidades para a configuração de dispositivos gerenciados que precisam ser implementadas através da API.

    Uma dessas opções de configuração é o método para extrair uma lista da ACL (Access Control List, lista de controle de acesso) configurada em cada dispositivo gerenciado pelo CSM. A utilização da API do CSM é a única forma de cumprir este requisito até à data.

    Para esses propósitos, a Postman usou como Cliente API e CSM versão 4.19 SP1, ASA 5515 versão 9.8(4).

    Diagrama de Rede

    Instalação/Verificação da Licença da API do CSM

    A API do CSM é um recurso licenciado. Você pode verificar se o CSM tem uma licença de API. No cliente CSM, navegue para Ferramentas > Administração do Gerenciador de Segurança > página Licenciamento para confirmar se você já tem uma licença instalada.

    Se não houver nenhuma licença de API aplicada, mas você já tiver o arquivo .lic e puder instalar sua licença, clique no botão Install a License, você deve armazenar o arquivo de licença no mesmo disco em que o servidor CSM está localizado.

    Para instalar uma licença mais recente do Cisco Security Manager, siga estas etapas:

    Etapa 1. Salve o arquivo de licença anexado (.lic) do e-mail recebido no sistema de arquivos.
    Etapa 2. Copie o arquivo de licença salvo em um local conhecido no sistema de arquivos do servidor do Cisco Security Manager.
    Etapa 3. Iniciar o Cisco Security Manager Client.
    Etapa 4. Navegue até Ferramentas->Administração do Gerenciador de segurança...
    Etapa 5. Na janela Cisco Security Manager - Administration, selecione Licensing
    Etapa 6. Clique no botão Install a License.
    Etapa 7. Na caixa de diálogo Install License, selecione o botão Browse.
    Etapa 8. Navegue e selecione o arquivo de licença salvo no sistema de arquivos do servidor do Cisco Security Manager e selecione o botão OK.
    Etapa 9. Na caixa de diálogo Install License, clique no botão OK.
    Etapa 10. Confirme as informações do Resumo de Licenças exibidas e clique no botão Close.

    A licença de API só pode ser aplicada em um servidor licenciado para o CSM Professional Edition. A licença não pode ser aplicada ao CSM que executa uma edição Standard da licença. Requisitos de licença de API

    Configuration Steps

    Configurações do Cliente API

    Se você usa Postman, há algumas configurações que você precisa configurar, depende de cada cliente API, mas deve ser semelhante.

    • Proxy desabilitado
    • Verificação SSL - DESATIVADA

    Configurações de CSM

    • API habilitada. Em Tools > Security Manager Administration > API

    Configurações de API

    Trabalhar com API CSM

    Você precisa configurar no cliente API as duas chamadas abaixo:

    1. Método de Logon

    2. Obter valores de ACL

    Para referência durante o processo:

    Detalhes de acesso ao CSM usados neste laboratório:

    Nome de host CSM (endereço IP): 192.168.66.116. Na API, usamos o nome do host na URL.

                Usuário: admin

                Senha: Admin123

    Método de login

    Esse método deve ser chamado antes de qualquer outro método chamado em outros serviços.

    Guia da API do CSM: Login do método

    Requisição

    1. Método HTTP: POST

    2. URL: https://<hostname>/nbi/login

    3. Organismo:

    
1.0
123
admin
Admin123
true
https://192.168.66.116/nbi/login

    Where:

    Nome de usuário: O nome de usuário do cliente CSM associado à sessão

    Senha: A senha do cliente CSM associada à sessão.

    ID de requisição: Este atributo identifica exclusivamente uma solicitação feita pelo cliente; este valor é ecoado pelo Servidor CSM na resposta associada. Ele pode ser definido para qualquer coisa que o usuário deseja usar como um identificador.

    heartbeatRequested: Este atributo pode ser definido opcionalmente. Se o atributo for definido como verdadeiro, o cliente CSM receberá um retorno de chamada de pulsação do servidor CSM. O servidor tenta fazer ping no cliente com uma frequência próxima a (tempo limite de inatividade) / 2 minutos. Se o cliente não responder à pulsação, a API tentará novamente a pulsação durante o próximo intervalo. Se o heartbeat for bem-sucedido, o timeout de inatividade da sessão será redefinido.

    URL de retorno de chamada: A URL na qual o servidor CSM faz o retorno de chamada. Isso precisa ser especificado se o heartbeatRequested for verdadeiro. Somente URLs de retorno de chamada baseadas em HTTPS são permitidas

    4. Enviar

    Selecione a opção raw para ver como neste exemplo.

    Resposta

    A API de logon valida as credenciais do usuário e retorna um token de sessão como um cookie seguro. O valor da sessão é armazenado na chave asCookie, você deve salvar este valor asCookie.

    Obter regras de ACL

    Método execDeviceReadOnlyCLICmds. O conjunto de comandos que podem ser executados por esse método é composto de comandos somente leitura, como estatísticas, comandos de monitoramento que fornecem informações adicionais sobre a operação de um dispositivo específico.  

    Detalhes do método no Guia do usuário da API do CSM

    Requisição

    1. Método HTTP: POST

    2. URL: https://hostname/nbi/utilservice/execDeviceReadOnlyCLICmds

    3. Cabeçalho HTTP: O cookie retornado pelo método de logon que identifica a sessão de autenticação.

    O valor asCookie de entrada foi obtido anteriormente do Logon do método.

    Chave: Insira "asCookie"

    Valor: Valor de entrada obtido.

    Clique na caixa de seleção para ativá-la.

    4. Organismo:

    

1.0
123

192.168.66.1
show
access-list

    Note: O corpo XML acima pode ser usado para executar qualquer comando "show", por exemplo: "show run all", "show run object", "show run nat" etc.
              O elemento XML "<deviceReadOnlyCLICmd>" indica que o comando especificado em "<cmd>" e "<argumento>" DEVE ser somente leitura.


    Where:

    IP do dispositivo: O endereço IP do dispositivo no qual o comando deve ser executado.

    cmd: Comando fixo "show". O regex permite casos mistos [sS][hH][oO][wW]

    argumento: Os argumentos do comando show. Como "run" para mostrar a configuração atual do dispositivo ou "access-list" para mostrar os detalhes da lista de acesso.

    5. Enviar

    Resposta

    Verificar

    Você tem a opção de Salvar resposta como um arquivo. Navegue até Salvar resposta > Salvar em um arquivo. Em seguida, selecione o local do arquivo e salve-o como um tipo .csv.

    Em seguida, você deve ser capaz de abrir este arquivo .csv com o aplicativo Excel, por exemplo. No tipo de arquivo .csv, é possível salvar a saída como outros tipos de arquivo, como PDF, TXT etc.    

    Troubleshooting

    Possíveis respostas de falha usando API.

    1. Nenhuma licença de API instalada.

    Causa: Licença de API expirada, não instalada ou não habilitada.

    Possível solução: Verifique a data de expiração da licença, em Ferramentas > Administração do Gerenciador de segurança > página Licenciamento

    Verifique se o recurso de API está habilitado em Ferramentas > Administração do Gerenciador de segurança > API

    Confirme as configurações da seção Instalação/Verificação da Licença da API do CSM acima deste guia.

    2. Uso de Endereço IP CSM incorreto para logon na API.

    Causa: O endereço IP do servidor CSM está incorreto na URL da chamada API.

    Possível solução: Verifique na URL do cliente API que o nome do host é o endereço IP correto do servidor CSM.

    URL: https://<hostname>/nbi/login

    3. Endereço IP do ASA incorreto.

    Causa: O endereço IP definido no Corpo entre as marcas <deviceIP></deviceIP> não deve ser o correto.

    Possível solução: Confirme se o endereço IP do dispositivo correto está definido na Sintaxe do corpo.

    4. Sem conexão com o firewall.

    Causa: O dispositivo não tem conexão com o CSM

    Possível solução: Execute um Teste de Conectividade do servidor CSM e solucione os problemas de conectividade adicional ao dispositivo.

    Para obter mais detalhes sobre Códigos de erro e Descrição, consulte o Guia de especificação da API do Cisco Security Manager no próximo link.

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Berenice Guerra
      Engenheiro do Cisco TAC
    • Raphael Moreno
      Engenheiro do Cisco TAC
    • Ricardo Gutierrez
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos