FortiGate ก็มี API นะ: มาลองทำวามรู้จักกับ REST API ของ FortiOS

FortiGate ก็มี API นะ: มาลองทำวามรู้จักกับ REST API ของ FortiOS
thanathorn บทความ

FortiGate เป็น Next-Generation Firewall จากค่าย Fortinet ที่มากทั้งประสิทธิภาพและความสามารถ ซึ่งในความสามารถในส่วนของ Security Fabric ของ FortiGate ก็จะมีสิ่งที่เรียกว่า Automation อยู่ ที่ช่วยให้ FortiGate สามารถทำงานตามเงื่อนไขได้โดยอัตโนมัติในระดับหนึ่ง แต่ถึงอย่างนั้นเราก็ยังไม่สามารถเขียนโปรแกรมไว้ใน Automation ของ FortiGate เพื่อควบคุมการทำงานที่ซับซ้อนเช่นการมีเงื่อนไข if-else ได้ แต่รู้หรือไม่ว่า FortiOS ของ FortiGate ก็มี REST API ให้เราสามารถใช้อุปกรณ์อื่นสั่งการให้ FortiGate ทำงานตามโปรแกรมที่เราเขียนได้

หมายเหตุ: บทวามนี้ใช้ FortiGate ที่ติดตั้ง FortiOS 7.0.6 ประกอบการเขียนบทความ

FortiOS ของ FortiGate มี API แบบไหนให้ใช้บ้าง

  • Configuration APIs: เป็น API ที่ใช้สำหรับการตั้งค่าต่าง ๆ เช่นการสร้าง ลบ แก้ไข Policy, การตั้งค่า Network Interface
  • Monitor APIs: เป็น API ที่ใช้สำหรับดึงค่าต่าง ๆ ที่เปลี่ยนแปลงโดย FortiGate เช่นปริมาณ Traffic ของแต่ละ Policy, ARP Table, จำนวน Users ที่ออนไลน์
  • Log APIs: เป็น API ที่ใช้สำหรับดึง Log ที่อยู่ใน Disk หรือ FortiAnalyzer หรือ FortiCloud ออกมา เช่น Traffic Log, Web Filter, Application Control และอื่น ๆ (เทียบเท่าเมนู Log & Report)

ก่อนการใช้งาน

การดำเนินการต่าง ๆ ในระบบของ FortiOS จำเป็นต้องมีการยืนยันตัวตน Admin ก่อน แต่ในที่นี้ Admin ไม่ใช่มนุษย์ แต่เป็นคอมพิวเตอร์ที่เรียกใช้งาน API ดังนั้นจึงต้องสร้าง Admin แบบหนึ่งที่เรียกว่า REST API Admin ขึ้นมาก่อน ซึ่งเราจะได้ API Key ซึ่งเป็นเหมือน Username, Password สำหรับใช้งาน API

  1. เลือกเมนู System -> Administrators
  2. กด Create New
  3. กด REST API Admin
  4. ใส่ Username สำหรับใช้งาน REST API
  5. ที่ Administrator profile ให้สร้าง Profile ใหม่โดยการกด Create
  6. ตั้งชื่อ Profile เช่น “REST_TEST”
  7. กด Set All
  8. เลือก Read/Write ***เพื่อการสาธิตเท่านั้น หากนำไปใช้งานจริงควรเลือกเฉพาะ Permission ที่ API ต้องการใช้งาน***
  9. กด OK
  10. ปิด PKI Group
  11. เปิด Trusted Host
  12. ใส่ IP เครื่องที่จะเรียกใช้ API
  13. กด OK
  14. กดปุ่ม Copy เพื่อคัดลอก API Key ***แสดงเพียงครั้งเดียว หากทำหายต้องสร้างใหม่ และห้ามทำหลุด***

ตัวอย่างการนำไปใช้

ทดลองสั่ง Disable Interface

API Endpoint: https://<FORTIGATE-IP:PORT>/api/v2/cmdb/system/interface/<INTERFACE-NAME>?access_token=<ACCESS-TOKEN>
Method: PUT

ตัวอย่างการ Disable Port 2
API Endpoint: https://192.168.1.1:8443/api/v2/cmdb/system/interface/port2?access_token=Ung992LDWO1JBYb8XjosXYrFb4LDrS

ตัวอย่างการสั่ง Disable Port 2 ผ่านโปรแกรม Postman
ก่อนสั่ง Disable ผ่านโปรแกรม Postman
หลังสั่ง Disable ผ่านโปรแกรม Postman

ทดลองดึงข้อมูลการตั้งค่า Interface

API Endpoint: https://<FORTIGATE-IP:PORT>/api/v2/cmdb/system/interface/<INTERFACE-NAME>?access_token=<ACCESS-TOKEN>
Method: GET

ตัวอย่างการดึงข้อมูลการตั้งค่า Port 1
API Endpoint: https://192.168.1.1:8443/api/v2/cmdb/system/interface/port1?access_token=Ung992LDWO1JBYb8XjosXYrFb4LDrS

ตัวอย่างผลการดึงข้อมูลการตั้งค่า Port 2

ทดลองดึงข้อมูล User ในระบบ

API Endpoint: https://<FORTIGATE-IP:PORT>/api/v2/monitor/user/device/query?access_token=<ACCESS-TOKEN>
Method: GET

ตัวอย่างการดึงข้อมูล User ในระบบ
API Endpoint: https://192.168.1.1:8443/api/v2/monitor/user/device/query?access_token=Ung992LDWO1JBYb8XjosXYrFb4LDrS

ตัวอย่างผลการดึงข้อมูล User ในระบบ

แถมเล็กน้อย ถ้าหากเราต้องการจำนวน User ที่ออนไลน์อยู่ในขณะนั้น เราก็สามารถเขียนโปรแกรมให้ Filter เฉพาะฟิลดิ์ is_online ที่มีค่า true ได้

หา Documentation หรือคู่มือจากที่ไหน

วิธีที่ 1: ดัก HTTP Request โดยใช้ DevTools ของ Browser (Google Chrome / Edge)

วิธีนี้จะเป็นการใช้เครื่องมือในแท็บ Network ของ DevTools เพื่อดักจับ HTTP Request ที่รับ-ส่งระหว่าง Browser และ FortiGate จากรูปจะเป็น HTTP Request ที่ดักได้ในจังหวะที่เลือกเปิด Interface Port 2 ขึ้นมา โดยเราสามารถคัดลอก Code การเรียก API ไปได้

วิธีที่ 2: ปุ่ม API Preview

วิธีนี้ ให้เราลองแก้ไขค่าอะไรสักอย่าง แล้วกด API Preview โดยในรูปจะเป็นการ Preview ในขณะแก้ไข Interface จะเป็นการให้ FortiGate แสดงฟิลดิ์ที่แก้ไขได้ออกมา

วิธีที่ 3: Fortinet Developer Network

Fortinet Developer Network เป็นชุมชนสำหรับนักพัฒนาที่มีเอกสาร คู่มือ เครื่องมือสสสำหรับช่วยพัฒนาโซลูชั่นส์ที่นำมาใช้งานกับ Product ของ Fortinet ซึ่งสำหรับ FortiGate ก็จะมีเอกสารคู่มือการใช้งาน API และเครื่องมือสำหรับทดลองการใช้งาน API ด้วย (Datasheet)

เครื่องมือทดสอบ API ของ Fortinet Developer Network

แต่ Fortinet Developer Network เป็นบริการที่เราต้องสมัครเพิ่มเติม แต่ไม่เสียค่าใช้จ่าย ให้ลองติดต่อสอบถามผู้แทนจำหน่ายผลิตภัณฑ์ของ Fortinet ที่จำหน่ายให้ท่านนะครับ

ปฏิเสธไม่ได้เลยว่า Network และ Programming เป็นของที่มาคู่กัน ซึ่ง Fortinet ก็มี REST API ให้เราได้เข้าไปใช้งานเพื่อต่อยอดความสามารถของ Next-Generation Firewall ได้อย่างไม่รู้จบ หากมีข้อสงสัยหรือข้อแนะนำ ทักมาพูดคุย สอบถามได้ที่เพจ ASCII Network and IT Solutions Co., Ltd. (คลิ๊ก) นะครับ

Cover image credits:
Coder photo created by DCStudio – www.freepik.com

Related Posts

MeshCentral: Remote Desktop แบบฟรี ใช้งานในองค์กรได้สะดวก

บทความ

ถ้าหากพูดถึงการ Remote เข้าไปยังเครื่องคอมพิวเตอร์ของภายในองค์กร ไม่ว่าจะช่วย Support แก้ปัญหาหรือเข้าไปทำงานก็ตาม ชื่อของ TeamViewer, AnyDesk, VNC หรือ Remote Desktop คงจะเป็นชื่อที่ท่านนึกถึง แต่ซอฟท์แวร์บางตัวก็จำเป็นต้องใช้ License เพื่อที่จะใช้งานในองค์กรโดยเฉพาะ หรือบางตัวก็อาจใช้งานค่อนข้างยากสำหรับมือใหม่ ดังนั้นจึงจะขอแนะนำโปรแกรม MeshCentral ที่สามารถ Remote ไปยังเครื่องคอมพิวเตอร์เครื่องอื่นได้อย่างง่ายดาย ทำงานบนเว็บได้ให้และมาพร้อมความสามารถอื่น ๆ ให้รู้จักกัน ตัวอย่างความสามารถของ MeshCentral โดย MeshCentral มีลักษณะการทำงานแบบ Server-Client นั่นคือเราเข้าไปจัดการอะไรต่าง ๆ และ Remote ได้ผ่าน Server และต้องติดตั้งโปรแกรม Agent ในฝั่งของ Client การติดตั้ง MeshCentral บน Server (Windows) เริ่มแรก ให้เปิดโปรแกรม PowerShell แบบ Run as Administrator ขึ้นมาก่อน […]

thanathorn

September 18, 2022

Off-site backup แบบประยุกต์ของที่มีอยู่อย่างประหยัด

บทความ

เท้าความก่อนว่าลูกค้ามีระบบ On-site backup สำหรับสำรองข้อมูลเซิฟเวอร์ข้อมูลของบริษัทอยู่แล้ว ที่เก็บข้อมูลที่สำรองไว้ใกล้ๆ กับเครื่องเซิฟเวอร์หลัก แต่ลูกค้ามีความกังวลว่าถ้าเกิดเหตุภัยพิบัติ เช่นอัคคีภัยขึ้นมาที่สำนักงาน ข้อมูลอาจจะหายทั้งหมด ทั้งต้นฉบับและที่สำรองไว้ จึงอยากให้ทำ Off-site backup ให้ไปเก็บข้อมูลที่สำนักงานเชียงใหม่ด้วย ด้วยของที่มีอยู่เเล้วในสำนักงาน จากความกังวลของลูกค้าก็ดูจะไม่ค่อยมีอะไรยาก (ถ้าพร้อมจ่าย) แต่ลูกค้าไม่อยากให้ใช้เงินมาก หรือแทบไม่ต้องใช้เลย …. เอาล่ะ ทำไงดี?? เริ่มจากสำรวจสิ่งที่มีอยู่แล้วก่อนว่ามีอะไรบ้าง มี Gateway ของสำนักงานนครสวรรค์เป็น Next-Generation Firewall ของ Fortinet รุ่น Fortigate 60F มี Gateway ของสำนักงานเชียงใหม่เป็น Router ที่ผู้ให้บริการอินเทอร์เน็ตแจกมา ใช้งาน NAS ของ Synology รุ่น DS420+ อยู่ที่สำนักงานนครสวรรค์ มี Harddisk เหลือ 3TB 1 ลูก มีคอมพิวเตอร์เก่า i3 gen 4 […]

thanathorn

July 25, 2022

แจ้งเตือนแอดมิน เมื่อมีคนเข้า SSL VPN บน FortiGate ผ่าน LINE

บทความ

องค์กรหรือบริษัทในปัจจุบัน หลายๆ แห่งคงมีการติดตั้ง VPN Server เอาไว้ ไม่ว่าจะด้วย NGFW อย่าง PaloAlto, FortiGate หรือจะแบบ Opensource อย่าง pfSense แต่จะดีกว่าไหมถ้าแอดมินหรือผู้ดูแลระบบ สามารถรู้ได้เวลาใครเข้า VPN มาตอนไหนบ้าง? Concept หลักในครั้งนี้ FortiOS FortiGate Automation FortiGate SSL VPN LINE Notify ขั้นตอนหลักๆ สร้าง Token สำหรับเชื่อมต่อ LINE Notify สร้าง Trigger ให้ตรวจจับเหตุการณ์การเชื่อมต่อ SSL VPN บน FortiGate สร้าง Action สำหรับส่งข้อความจาก FortiGate ไปหา LINE เชื่อมต่อ Trigger และ Action เข้าด้วยกัน เริ่มทำกันเลย Part […]

thanathorn

July 24, 2022
Message us