Backup automatizado de switches HP ProCurve con Python

Buenos días.

Hoy os traigo otro nuevo avance en mi empeño por hacer cosas con Python.

En la empresa vamos ya por 42 switches gestionables en nuestra red (sólo en la localización de mi oficina y sólo los gestionables…), y no paramos de crecer y ampliarla. Ésto está muy bien y es divertido para los que nos gusta jugar con redes cableadas, inalámbricas y de fibra óptica, pero acaba dando algún que otro susto cuando se te olvida hacer backup de la configuración de alguno de ellos después de haber modificado esa vlan que era tan importante.

Como no tenemos mucho tiempo para realizar esas tareas y, la mitad de las veces se nos va el santo al cielo con la siguiente urgencia y no nos acordamos de hacerlo, decidí crear un script en Python (aprovechando que me cambié el ordenador de la oficina de Windows Server 2008 R2 a Ubuntu 14.04) que realizase la tarea por mí periódicamente.

La entrada hace referencia a switches “HP ProCurve” en concreto, ya que los 42 que tengo son de la misma familia, aunque es fácilmente modificable para aplicarlo a cualquier tipo de switch o dispositivo que sea accesible por telnet u otro protocolo similar vía consola.

Al final, ha quedado una cosa bastante curiosa que me gustaría compartir con vosotros (aunque ya sé que mi código no es el más depurado).

El script lo que hace básicamente es:

1.- Crea una carpeta nueva “Backup_Switches_DDMMYY” en la carpeta de Backups.

2.- Se va conectando por telnet a una lista de switches configurados en un archivo a tal efecto y va copiando el resultado del comando “show run”.

3.- Tiene en cuenta si el switch no tiene contraseña, si tiene contraseña, si hay que pulsar Intro o no hay que pulsarlo para acceder a la configuración. Funciona con todas las combinaciones posibles (entre tantos modelos tengo todas las variantes…). Ésto es porque hay switches que acceden directamente a la pantalla de “user” y “password”, en otros pone “Pulse Intro para continuar” y al pulsarlo es cuando te pregunta “user” y “password”… los que no piden contraseña y acceden directamente al prompt, los que no piden contraseña pero hay que pulsar Intro para acceder al prompt…

4.- Vuelca el contenido de la configuración en un archivo “Backup_IP_DDMMYY_HHMM.txt” dentro de dicha carpeta y lo modifica un poco (eliminando la primera y última líneas del archivo por ejemplo, que traen texto innecesario).

5.- Una vez se han tratado todos los switches de la lista, comprime la carpeta en formato “.zip” y elimina la carpeta con los archivos de configuración, dejando sólo el archivo comprimido.

6.- Si observáis el script, tengo comentada la librería y las líneas de código para hacer que suba los archivos a un TFTP, ya que es como lo ejecutaba al principio. Desde un qemu emulando una Raspberry a un TFTP que tenía en mi ordenador. Se puede hacer que lo suba a un TFTP, FTP, Mega, Dropbox, Drive… o lo que se os ocurra y se pueda programar en Python (vamos, casi todo…).

7.- Se puede programar con cron para que se ejecute cada día, semana, mes…

Pantalla de ejecución del script (conexión a los 2 primeros switches):

ejecucion_switches

Carpeta con la fecha para ir guardando los archivos individuales:

carpeta_switches

Detalle de los archivos de backup (los mismos 2 primeros switches):

archivos_switches

Lo único que necesita el script para trabajar es un archivo en el mismo directorio llamado “lista”, que contiene los datos necesarios para conectarse y obtener la configuración de los switches.

Se configura un switch por línea, y sólo es necesario 4 parámetros por switch (mínimo 2 obligatorios, máximo 4).

Los parámetros son: IP, hostname, [usuario, password]

En el siguiente ejemplo, el primer switch tiene como usuario “usuario” y como contraseña “password”, y el segundo no tiene usuario ni contraseña (nótese que tiene que estar la coma igualmente).

Archivo “lista”

192.168.46.181,HP ProCurve Switch 5308xl,usuario,password
192.168.38.182,SALANUEVA,,

Archivo “Backup_Switches.py”

#!/usr/bin/python

import telnetlib
import datetime
import time
import os
import sys
import subprocess
import zipfile
#import tftpy

now=datetime.datetime.now()

os.mkdir("/media/oscar/ALMACEN/Backups_Switches/Backup_Switches_" + now.strftime("%d%m%Y"))

listado=[]
respuesta=""
index=-1

with open("lista","r") as origen:
	for line in origen:
		listado.append(line[:-1])

for elemento in listado:

	datos=elemento.split(",")

	host = datos[0]
	tn=telnetlib.Telnet(host)
	print "Conectado a " + host + " (" + datos[1] + ")"
	time.sleep(2)
	respuesta=tn.read_very_eager()
	index=respuesta.find("Username:")
	if index!=-1:
		tn.write(datos[2] + "\n")
		time.sleep(2)
		tn.read_until("Password:")
		tn.write(datos[3] + "\n")
		time.sleep(2)
	else:
		tn.write("\n")
		time.sleep(2)
		if datos[2]!="":
			tn.read_until("Username:")
			tn.write(datos[2] + "\n")
			time.sleep(2)
			tn.read_until("Password:")
			tn.write(datos[3] + "\n")
			time.sleep(2)
	tn.read_until(str(datos[1]) + "#")
	tn.write("terminal length 1000\n")
	tn.write("show run\n")
	time.sleep(2)
	tn.write("exit\n")
	time.sleep(2)
	tn.write("exit\n")
	time.sleep(2)
	tn.write("y")
	output = tn.read_all()
	tn.close()
	filename = "tmp"
	fp=open(filename,"w")
	fp.write(output + "\n")
	fp.close()
	with open("tmp") as myfile:
		suma = sum(1 for line in myfile)
	myfile.close()
	contador = 1
	with open("tmp","r") as input:
		with open("/media/oscar/ALMACEN/Backups_Switches/Backup_Switches_" + now.strftime("%d%m%Y") + "/backup_" + datos[0] + "_" + now.strftime("%d%m%Y") + "_" + now.strftime("%H%M") + ".txt","wb") as output:
			for line in input:
				if contador!=1 and contador!=suma and contador!=suma-1:
					output.write(line)
				contador=contador+1
	input.close()
	output.close()	
	os.remove("tmp")

zf=zipfile.ZipFile("/media/oscar/ALMACEN/Backups_Switches/Backup_Switches_" + now.strftime("%d%m%Y") + ".zip", "w")
for dirname, subdirs, files in os.walk("/media/oscar/ALMACEN/Backups_Switches/Backup_Switches_" + now.strftime("%d%m%Y")):
	zf.write(dirname)
	for filename in files:
		zf.write(os.path.join(dirname,filename))
zf.close()

for root, dirs, files in os.walk("/media/oscar/ALMACEN/Backups_Switches/Backup_Switches_" + now.strftime("%d%m%Y"), topdown=False):
	for name in files:
        	os.remove(os.path.join(root,name))
	for name in dirs:
                os.rmdir(os.path.join(root, name))
os.rmdir("/media/oscar/ALMACEN/Backups_Switches/Backup_Switches_" + now.strftime("%d%m%Y"))

origen.close()
sys.exit()

#client = tftpy.TftpClient("192.168.46.45",69)
#client.upload("backup_" + datos[0] + "_" + now.strftime("%d%m%Y") + "_" + now.strftime("%H%M") + ".txt","/home/pi/SAVE/backup")
#subprocess.call(["rm","backup"])

Espero vuestros comentarios así como las mejoras que se os ocurran (así las puedo implementar en producción yo también ;-D).

Un saludo y hasta la próxima.

Detectando NICs en Modo Promiscuo

tdred

Buenas noches.

De todos los que nos solemos “encontrar” por Twitter son conocidos los #Ciberretos de @CiberpoliES.

El domingo pasado a las 12 de la mañana, que ninguno de los dos teníamos mucho que hacer por lo visto, recibí un mensaje directo de @CiberpoliES diciéndome que llevaba un rato enredando intentando descubrir tarjetas de red en modo monitor y que estaría bien que me currase un script que las detectara… Para ser exactos, el mensaje fue “A ver si se te ocurre algún script para detectar la presencia de tarjetas de red en modo monitor

Como las noches las solemos aprovechar para “investigar” a parte de leer vuestros mensajes de twitter, empecé a hacer pruebas para ver si se podía detectar con un script una tarjeta en modo promiscuo, más que nada porque una vez que alguien nos espeta algo como eso, no podemos dormir hasta que encontramos solución, y como yo creo que el resto de vosotros (también me preguntó un lector que para qué servía “enviar archivos mediante ping“… en fin)

Así que ni corto ni perezoso, raspberry por un lado y portátil con windows 10 y kali virtualizado por otro, manos a la obra a ver si podemos dar gusto a @CiberpoliES.

A las 4 de la madrugada del Lunes, ya tenía un script funcionando pero me faltaba que @CiberpoliES lo probase también, por aquello de comprobar que no sólo funciona en nuestro “laboratorio” y en “condiciones ideales” (y os aseguro que el entorno de @CiberpoliES no es el entorno ideal después de que tuviese que probar con 2 portátiles, la raspberry y no sé cuantas antenas porque a cada uno le falla algo jejejeje ;-D) Una vez probado y visto que funciona, aquí os lo presento (teniendo en cuenta los falsos positivos que comento en la nota informativa más adelante)

Pero… vayamos por partes. ¿Cómo se puede detectar una tarjeta en modo promiscuo en nuestra red? Primero veamos algo de teoría…

Las tarjetas de red en modo “normal” responden a 3 tipos de mensajes. El primer tipo son los mensajes que van dirigidos expresamente para ella (con su dirección mac), el segundo tipo son mensajes multicast para todos los dispositivos de la red o para el grupo de la tarjeta de red y el tercer tipo son los mensajes de Broadcast como por ejemplo ARP para solicitar la dirección mac de un equipo del que no se conoce (dirección FF:FF:FF:FF:FF:FF en la capa Ethernet y 00:00:00:00:00:00 en la capa ARP).

Es decir, la tarjeta de red en modo normal, sólo pasa paquetes al sistema operativo que cumplan una de esas tres condiciones: que sea para ella (su mac) o que sea multicast o broadcast y cumpla la condición del paquete (como tener su dirección ip en un paquete ARP solicitando su mac).

Por otra parte, analizando los distintos sistemas operativos y buscando información sobre el comportamiento de dichos sistemas ante este tipo de paquetes sabemos lo siguiente (es decir, cómo responde el sistema operativo al paquete, y no la tarjeta de red):

1.- La dirección multicast de todos los equipos de la red (01:00:5E:00:00:01) pasa la tarjeta de red en modo normal y promiscuo y es respondida por el sistema operativo tanto en Windows como en Linux.

2.- La direccion 0 multicast (01:00:5E:00:00:00) sólo pasa la tarjeta de red en modo promiscuo y sólo es respondida por Linux, no por Windows.

3.- La dirección multicast sólo con el bit de grupo activado (01:00:00:00:00:00) sólo pasa la tarjeta de red en modo promiscuo y sólo es respondida por Linux, no por Windows.

4.- La dirección de “falso” broadcast de 8 bits (FF:00:00:00:00:00) sólo pasa la tarjeta de red en modo promiscuo y es respondida por el sistema operativo en Windows 9X/ME y Linux.

5.- La direccion de “falso” broadcast de 16 bits (FF:FF:00:00:00:00) sólo pasa la tarjeta de red en modo promiscuo y es respondida por todos las versiones de Windows y Linux.

6.- La dirección de “falso” broadcast FF:FF:FF:FF:FF:FE sólo pasa la tarjeta de red en modo promiscuo y es respondida también por todas las versiones de Windows y Linux.

7.- La dirección de broadcast (verdadero broadcast) FF:FF:FF:FF:FF:FF pasa la tarjeta de red tanto en modo normal como modo promiscuo y es respondida por todos los sistemas operativos tanto Windows como Linux.

Es decir, tenemos que encontrar un paquete que enviado a los equipos sólo nos responda cuando esté en modo promiscuo, y que me permita aplicarlo a la mayoría de sistemas operativos.

Como podemos observar, el paquete idóneo es con la dirección de falso broadcast “FF:FF:FF:FF:FF:FE”, ya que si la tarjeta está en modo normal, será rechazado por no ser multicast, no ser broadcast “puro” ni ser la mac de la tarjeta, pero que si está en modo monitor será pasado al sistema operativo y nos responderá tanto Windows como Linux.

Manos a la obra. Os muestro 2 scripts.

El primero es la versión “rápida” de demostración. Sólo envío el paquete a toda la red con Scapy y pinto la mac e ip de los equipos que responden.

El segundo, es la versión completa. Permite elegir la interface de red a utilizar y detecta la red para hacer el bucle automáticamente a todos los equipos de dicha red, la puerta de enlace para descartar el router (ahora explico por qué), añadiendo el parámetro “-v” nos permite ver el paquete que va a enviar Scapy, etc…

Nota informativa: los script ejecutados en red cableada funcionan 100%, ya que todos los equipos que detectan están en modo monitor y el router es descartado por el script (ya que el “linux” que tiene dentro contesta también a ese tipo de paquetes dando un falso positivo). Si los ejecutamos en una red inalámbrica, aparecerán falsos positivos, como los teléfonos android que también contestan a todos los paquetes con el linux que llevan dentro…

Todavía no he encontrado una solución “fácil” para descartar los teléfonos android (ya he pensado en fabricante por la mac, fingerprints de so con p0f (igual que lo hace nmap), etc…) así que se aceptan sugerencias, teniendo en cuenta que no me gustaría usar más “aplicaciones de terceros” y no me gustaría salirme de módulos de python a poder ser…

Y dicho ésto, aquí están los script. No seáis malos con mi python, que ya sabéis que soy principiante en dicho lenguaje.

Sois libres de copiar, usar, modificar, distribuir… sólo me gustaría ir sabiendo las mejoras que le vais introduciendo al script.

Un saludo y hasta la próxima.

rapido.py

import sys
from scapy.all import *

conf.verb=0
ans,unans=srp(Ether(dst="ff:ff:ff:ff:ff:fe")/ARP(pdst="192.168.1.0/24"),timeout=2)

for snd,rcv in ans:
	print rcv.sprintf(r"%Ether.src% & %ARP.psrc%\\")

completo.py

import sys
from scapy.all import *

def get_mac_address(interf):
	my_macs = [get_if_hwaddr(interf)]
	for mac in my_macs:
		if(mac != "00:00:00:00:00:00"):
			return mac

def get_ip_address(interf):
	my_ips = [get_if_addr(interf)]
	for ip in my_ips:
		if(ip != "0.0.0.0"):
			return ip

def get_def_route(interf):
	data = os.popen("/sbin/route -n ").readlines()
	for line in data:
		if line.startswith("0.0.0.0") and (interf in line):
			return line.split()[1]

Timeout=2

if len(sys.argv)<2 or len(sys.argv)>3:
	print "Uso: prueba.py interface [-v]"
	sys.exit(1)
elif len(sys.argv)==3 and sys.argv[2]!="-v":
	print "Uso: prueba.py interface [-v]"
	sys.exit(1)
else:
	print "Interface seleccionado: " + sys.argv[1]
	my_mac = get_mac_address(sys.argv[1])
	my_ip = get_ip_address(sys.argv[1])
	octetos = my_ip.split(".")
	my_net = octetos[0] + "." + octetos[1] + "." + octetos[2] + ".0/24"
	my_gw = get_def_route(sys.argv[1])

if not my_mac:
	print "Error obteniendo MAC"
	sys.exit(1)
else:
	print "MAC Interface " + sys.argv[1] + ": " + my_mac

if not my_ip:
	print "Error obteniendo IP"
	sys.exit(1)
else:
	print "IP Interface " + sys.argv[1] + ": " + my_ip
	print "Red a Escanear: " + my_net
	print "Default Gateway para interface " + sys.argv[1] + ": " + my_gw

conf.verb=0

packet = Ether(dst="FF:FF:FF:FF:FF:FE",src=my_mac)/ARP(op=1,hwdst="00:00:00:00:00:00",hwsrc=my_mac,psrc=my_ip,pdst=my_net)

if len(sys.argv)==3 and sys.argv[2]=="-v":
	print "Mostrando Composicion del Paquete:"
	packet.show()

ans,unans=srp(packet,timeout=2)

print ""
print "Mostrando POSIBLES Modo Monitor en la Red:"
print ""

for snd,rcv in ans:
	if rcv.psrc!=my_gw:
		print rcv.sprintf(r"%Ether.src% & %ARP.psrc%")