المقدمة
يصف هذا المستند الخطوات الرامية إلى تحديد مواطن الضعف الأمنية الحيوية وإصلاحها في شبكة WAN الآمنة (SD-WAN) استنادا إلى إرشادات PSIRT المؤرخة في 25 فبراير 2026.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- بنية Cisco Catalyst SD-WAN ومكونات التحكم (vManage و vSmart و vBond)
- إجراء ترقية Cisco Catalyst SD-WAN
- إدارة حالة Cisco TAC وإجراءات تجميع admin-tech
المكونات المستخدمة
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
للحصول على معلومات أساسية مفصلة وآخر التحديثات، يرجى الرجوع إلى الصفحة الاستشارية الرسمية ل PSIRT.
تتوفر هذه المستشارين في هذه الارتباطات:
ويتم معالجة هذه العيوب بواسطة إرشادات PSIRT التالية:
نظرة عامة على سير عمل الإصلاح
ملاحظة: تتميز جميع عمليات نشر شبكة SD-WAN بكونها عرضة للخطر وتتطلب إجراءات فورية. غير أن الأنظمة لا تظهر كلها أدلة على وجود حل توفيقي.
الإجراء المطلوب: افتح حالة Cisco TAC لمعالجة نصيحة الأمان هذه.
TAC متوفر ل:
- قم بتقييم بيئتك للحصول على مؤشرات توافقية
- قم بإرشادك خلال مسار الإصلاح المناسب بناء على التقييم
- العمل مع فريق فريق فريق البرنامج المتكامل لتهيئة البيئة البحرية في حالة تحديد مؤشرات توفيقية
- توفير إرشادات ودعم للترقية في حالة عدم اكتشاف أي مؤشرات للمساومة
- تجميع Admin-Techs - تشغيل Admin-tech على جميع مكونات التحكم (vSmart و vManage و vBond). يجب ألا يتم تشغيل تقنية vSmart admin في نفس الوقت، بل يجب تشغيلها مرة واحدة في كل مرة. ويمكن جمع كل الملفات الأخرى بأي ترتيب. حدد سجل وخيارات تقنية. Core غير مطلوب.
- فتح حالة مركز المساعدة الفنية - الاتصال ب Cisco TAC وتوفير جميع مجموعات السجلات الفنية لمسؤول مكون التحكم
- تقييم TAC - يقوم TAC بتقييم بيئتك بحثا عن مؤشرات التوافق
- تنفيذ الإصلاح - إكمال العملية المحددة التي يوفرها TAC
الخطوة 1: تجميع ملفات Admin-tech من جميع مكونات التحكم
مطلوب: قم بجمع ملفات admin-tech من جميع مكونات التحكم قبل فتح حالة مركز المساعدة الفنية الخاصة بك. يعتبر هذا أمرا أساسيا ل TAC لتقييم بيئتك.
المجموعة:
ملاحظة: لإنشاء Admin-tech، حدد "سجل" وخيارات فنية. Core غير مطلوب.
- تشغيل Admin-tech على كافة وحدات التحكم (vSmart) - لا تقم بتشغيل هذه الوحدات في نفس الوقت؛ جمع واحد في كل مرة
- تشغيل Admin-tech على كافة المدراء (vManage)
- تشغيل Admin-tech على كافة عوامل التحقق من الصحة (vBonds)
ملاحظة: يجب ألا يتم تشغيل تقنية vSmart admin في نفس الوقت، بل يجب جمعها كل مرة. يمكن تجميع Admin-Techs للمديرين وموثقي الصحة بأي أمر.
تجميع تقنية Admin في بيئة SD-WAN وتحميل إلى حالة TAC
ملاحظة: يقوم TAC بتحليل هذه الملفات لتقييم البيئة الخاصة بك بحثا عن مؤشرات التسوية وإرشاد مسار المعالجة المناسب.
البديل: التحقق اليدوي (فقط في حالة تعذر تجميع admin-tech)
بالنسبة لهؤلاء الذين لا يمكنهم مشاركة ملفات admin-tech، تتوفر خطوات التحقق اليدوي. توفر هذه الخطوات مؤشرات أولية يجب توثيقها ومشاركتها مع TAC.
راجع قسم "خطوات التحقق اليدوي" في نهاية هذا المستند للاطلاع على الإجراءات التفصيلية. قم بتوثيق جميع النتائج وقدمها إلى TAC في حالة الدعم الخاصة بك.
الخطوة 2: فتح حالة مركز المساعدة الفنية وتحميل ملفات admin-tech
بعد تجميع جميع ملفات admin-tech من الخطوة 1، افتح حالة دعم Cisco TAC.
الإجراءات المطلوبة:
- فتح حالة مركز المساعدة الفنية ذات مستوى الخطورة المناسب لتأثير شركتك
- تحميل جميع مجموعات السجلات الفنية للمسؤول التي تم تجميعها في الخطوة 1 (وحدات التحكم والمديرين والمحققين من الصحة)
- الإشارة إلى إرشادات PSIRT
- انتظار تقييم TAC وإرشاده
تحذير: يحدد TAC حالة النظام الخاص بك ويوصي بالخطوات التالية المناسبة.
لا تحاول إجراء مزيد من الخطوات دون إرشادات TAC
الخطوة 3: تقييم TAC
يحلل TAC ملفات admin-tech التي تم تحميلها ويحدد حالة النظام.
خلال هذا الوقت:
- انتظار تقييم رسمي من TAC قبل إتخاذ أي إجراء
- يقوم TAC بالاتصال بك ليخبرك بالنتائج التي توصلوا إليها والخطوات التالية
الخطوة 4: تنفيذ المعالجة (TAC-Guided)
يقوم مركز المساعدة الفنية (TAC) بتوجيهك خلال عملية الإصلاح المناسبة بناء على تقييمهم. قم بإكمال جميع التعليمات المقدمة من قبل TAC.
المسار أ: لم يتم العثور على مؤشرات توفيقية - الترقية
إذا أكد TAC أنه لا يوجد دليل على وجود تضحيات، فيمكنك الترقية إلى إصدار البرنامج الثابت. حدد الإصدار المناسب من جدول إصدارات البرامج الثابتة في هذا المستند، وأرجع دليل الترقية المرتبط في هذا القسم.
تحذير: يجب أن تظل الترقية ضمن الإصدار الرئيسي الحالي. لا تقم بالترقية إلى إصدار رئيسي أعلى دون إرشادات TAC صريحة.
ترقية وحدات التحكم في SD-WAN باستخدام واجهة المستخدم الرسومية (GUI) vManage أو واجهة سطر الأوامر (CLI)
المسار ب: تحديد مؤشرات الحل الوسط - بإرشاد من PSIRT
إذا أكد مركز المساعدة الفنية وجود مؤشرات توفيقية، فإنه يقوم بإشراك فريق PSIRT في تطوير إستراتيجية معالجة مخصصة لبيئتك. قم بإكمال جميع الإرشادات التي يوفرها TAC و PSIRT.
إصدارات البرامج الثابتة
تحتوي إصدارات البرامج هذه على حلول للمكامن الضعف المحددة:
ملاحظة: للعملاء على CDCS (المجموعة المستضافة من Cisco)، 20.15.405 هو أيضا إصدار ثابت. ينطبق هذا بشكل خاص على نشر نظام المجموعة المستضاف من Cisco ويتم معالجته بشكل منفصل عن مسار الترقية القياسي.
* إذا كنت في الإصدار 20.9 أو إصدار سابق: البرنامج الثابت للإصدار (20.9.8.2) متوفر في 2/27. توصي Cisco بالبقاء داخل الإصدار الرئيسي الحالي وانتظار الإصدار 20.9.8.2 بدلا من الترقية إلى إصدار رئيسي أعلى (20.12، 20.15، 20.18). إذا كنت حاليا في إصدار أقل من 20.9، فانتظر حتى تتم الترقية إلى الإصدار 20.9.8.2. استمر في العمل مع TAC والرجوع إلى 2/27 للحصول على رابط البرنامج المتاح.
مراجع مهمة:
الملحق: خطوات التحقق اليدوي (فقط في حالة عدم إمكانية تجميع admin-tech)
ملاحظة: تعد مجموعة Admin-tech الطريقة المفضلة والموصى بها. أستخدم فقط التحقق اليدوي إذا لم تتمكن من جمع ملفات admin-tech ومشاركتها على الإطلاق. إن يستطيع أنت لا يجمع مبرد admin-tech، استعملت هذا steps يدوي أن يجمع مؤشر أولي ل TAC.
ملاحظة:
- توفر هذه الخطوات بيانات أولية فقط
- إن مجموعة Admin-tech مفضلة بشدة للتقييم الدقيق
- توثيق النتائج التي توصلت إليها ومشاركتها مع TAC في حالة الدعم الخاصة بك
- يقوم TAC بتحديد التقييم الرسمي
المتطلبات: يجب تنفيذ هذه الخطوات على جميع مكونات التحكم.
التحقق 1: التحقق من تسجيل دخول SSH غير المصرح به في سجلات المصادقة
الخطوة 1: تحديد عناوين IP الصحيحة لنظام vManage
الوصول إلى كل وحدة تحكم vSmart والتنفيذ:
west-vsmart# show control connections | inc "vmanage|PEER|IP"
مثال الإخراج:
PEER PEER
PEER PEER PEER SITE DOMAIN PRIV PEER PUB PEER
INDEX TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT ORGANIZATION REMOTE COLOR STATE UPTIME
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vmanage dtls 10.1.0.18 101018 0 10.1.10.18 12346 10.1.10.18 12346 calo-auto-lab default up 5:17:27:22
الخطوة 2: إنشاء سلسلة تعبير نمطية (vBond و vSmart فقط)
دمج جميع عناوين IP الخاصة بالنظام من الخطوة 1 إلى نمط OR regex:
system-ip1|system-ip2|...|system-ipn
الخطوة 2 ب: خطوة إضافية لأنظمة vManage
إذا كنت تقوم بتشغيل هذه الأوامر على vManage نفسه، فقم بإلحاق عنوان IP الخاص بالمضيف المحلي (127.0.0.1) وبروتوكول IP الخاص بالنظام المحلي وجميع عناوين IP الخاصة بالمجموعات وواجهة نقل VPN 0 إلى المحول:
system-ip1|system-ip2|...|system-ipn|127.0.0.1|
للعثور على IP المحلي لنظام vManage، أستخدم:
show control local-properties
للعثور على IP لواجهة النقل VPN 0 و IP لنظام المجموعة، أستخدم:
show interface | tab
الخطوة 3: تنفيذ أمر التحقق
ركضت هذا أمر، يستبدل REGEX مع regex خيط من خطوة 2:
west-vsmart# vs
west-vsmart:~$ zgrep "Accepted publickey for vmanage-admin from " /var/log/auth.log* | grep -vE "\s(REGEX)\s"
ملاحظة: يقوم هذا الأمر بتصفية سجلات المصادقة لإظهار تسجيلات الدخول vmanage-admin فقط من مصادر غير متوقعة. يجب أن تنشأ عمليات تسجيل الدخول الشرعية من عناوين IP ذات الصلة vManage فقط.
الخطوة 4: ترجمة النتائج والمستند ل TAC
إذا لم يتم عرض أي مخرجات:
- لم يتم الكشف عن أي مؤشرات للتوافق على هذا الجهاز
- توثيق هذه النتيجة لحالة TAC الخاصة بك
- مواصلة تقييم وحدات التحكم المتبقية
إذا تم طباعة بنود السجل:
- تحقق بعناية من كل عنوان IP ظاهر
- تحقق من عدم إرتباط IP بالبنية الأساسية vManage (عنوان IP لنظام المجموعة أو بروتوكول IP لنظام قديم أو ما شابه)
- إذا لم تتمكن من تعريف IP المصدر على أنه شرعي، فيمكن أن يشير ذلك إلى المؤشرات المحتملة للتسوية
- يعرض إدخال السجل الطابع الزمني وعنوان IP للمصدر
- توثيق جميع النتائج وفتح حالة مركز المساعدة الفنية على الفور
- تضمين إدخالات السجل، والأختام الزمنية، و IPs المصدر في حالتك
- يقوم TAC بتحديد التقييم الرسمي
التحقق 2: التحقق من إتصالات النظير غير المصرح بها في وحدات التحكم syslog
يستخرج هذا الأمر جميع أزواج نوع النظير ونظام IP من ملفات syslog لوحدة التحكم ويخرجهم كقائمة لك لمراجعتها. وهو لا يقوم تلقائيا بتمييز الإدخالات المشبوهة — يجب عليك فحص الإخراج وتحديد ما إذا كان كل عنوان IP لنظام النظير هو جزء معروف وشرعي من بنية SD-WAN الأساسية لديك. قم بتشغيل هذا على كافة مكونات عنصر التحكم (وحدات التحكم والمديرين وأجهزة التحقق من الصحة).
الخطوة 1: قم بتشغيل الأمر على كل مكون تحكم:
قم أولا بالوصول إلى vshell وانتقل إلى دليل السجل:
vs
cd /var/log
ثم قم بتشغيل الأمر التالي:
awk '{
match($0, /peer-type:([a-zA-Z0-9]+)[^ ]* peer-system-ip:([0-9.:]+)/, arr);
if(arr[1] && arr[2]) print "(" arr[1] ", " arr[2] ")";
}' vsyslog* | sort | uniq
الخطوة 2: ترجمة النتائج والمستند ل TAC
إذا كانت المخرجات تعرض فقط عناوين IP المعروفة لنظام vManage/vSmart/vBond:
- لم يتم الكشف عن أي مؤشرات للتسوية من هذا التحقق
- توثيق هذه النتيجة لحالة TAC الخاصة بك
- مواصلة تقييم مكونات الرقابة المتبقية
إذا احتوى الإخراج على عناوين IP لنظام نظير غير متعرف عليها:
- تحقق بعناية من كل عنوان IP ونوع نظير معروض
- تحقق من عدم إرتباط IP بالبنية الأساسية المعروفة لمستوى التحكم في SD-WAN
- إذا لم تتمكن من تعريف IP المصدر على أنه شرعي، فيمكن أن يشير ذلك إلى المؤشرات المحتملة للتسوية
- توثيق جميع النتائج وفتح حالة مركز المساعدة الفنية على الفور
- تضمين إخراج الأمر بالكامل مع أزواج نظام النظير و بروتوكول الإنترنت في حالتك
- يقوم TAC بتحديد التقييم الرسمي
الأسئلة المتكررة
س: ما هي الخطوة الأولى لمعالجة هذه المشورة الأمنية؟ ج: تجميع ملفات admin-tech من جميع مكونات التحكم وفتح حالة مركز المساعدة الفنية لتحميل الملفات. يقوم مركز المساعدة الفنية (TAC) بتقييم بيئتك وتوفير الإرشادات حول الخطوات التالية.
س. ما الإصدار الذي يجب الترقية إليه؟ أ. الرجاء الترقية إلى أقرب إصدار ثابت في أقرب وقت ممكن.
س: هل أحتاج إلى جمع الفنيين المسؤولين من جميع مكونات التحكم؟ ج: نعم، يتطلب TAC ملفات تقنية الإدارة من جميع وحدات التحكم (تقنية vSmart، التي يتم تجميعها في كل مرة)، وجميع المدراء (vManage)، وجميع أجهزة التحقق من الصحة (vBond) لتقييم بيئتك بشكل صحيح.
س: كيف يحدد TAC ما إذا كان نظامي قد تعرض للخطر؟ ج: يقوم TAC بتحليل ملفات admin-tech باستخدام أدوات متخصصة لتقييم البيئة الخاصة بك بحثا عن مؤشرات للتسوية.
س: ماذا يحدث إذا جرى تحديد مؤشرات للتسوية؟
ج: يقوم مركز المساعدة الفنية (TAC) بإشراك فريق PSIRT ويتصل بك لمناقشة الخطوات والإرشادات التالية الخاصة ببيئتك. لا تقوم Cisco بإجراء الإصلاح بالنيابة عنك — يوفر TAC التوجيه اللازم لك للمتابعة.
س: كيف يمكنني معرفة أي إصدار من البرامج الثابتة يمكن إستخدامه؟
ج: ارجع إلى جدول إصدارات البرامج الثابتة في هذا المستند. يؤكد TAC الإصدار المناسب لبيئتك الخاصة.
س: هل يمكنني بدء الترقية قبل قيام TAC بتحليل Admin-Techs؟
ج: لا، انتظر حتى يكمل TAC تقييمه ويقدم الإرشادات قبل محاولة أي إجراءات إصلاح.
س: هل من المتوقع حدوث وقت التوقف عن العمل أثناء الإصلاح؟
ج: يعتمد التأثير على بنية النشر ومسار الإصلاح. يوفر TAC إرشادات حول تقليل تأثير الخدمة أثناء العملية إلى الحد الأدنى.
س: هل يتم تضمين إصلاحات PSIRT في الإصدار 20.15.5 القادم والإصدارات الأخرى القادمة؟
ج: نعم، يتم تضمين الإصلاحات في الإصدار 20.15.5 والإصدارات القادمة الأخرى. ومع ذلك، يجب تحديد أولوية الترقية على الفور للحد من مواطن الضعف الموضحة في هذا المستند. (لا تنتظر!)
س: هل يلزم ترقية جميع وحدات التحكم في حالة عدم العثور على مؤشرات توفيقية؟
ج: نعم، يجب ترقية جميع مكونات التحكم في شبكة SD-WAN (vManage و vSmart و vBond) إلى إصدار برنامج ثابت. لا تكفي ترقية مجموعة فرعية من وحدات التحكم فقط.
س: لدي تغشية على شبكة SD-WAN مستضافة بواسطة السحابة. ما هي خياراتي للترقية؟
ج: بالنسبة للتغشيات التي تستضيفها السحابة، يتوفر للعملاء خياران:
- تحقق مما إذا كانت البيئة الخاصة بك مجدولة لإجراء ترقية مؤتمتة عن طريق الانتقال إلى SSP > تفاصيل التغشية > تغيير Windows.
- إذا كنت لا تريد انتظار الترقية المجدولة، فلديك خياران:
س: هل نحن بحاجة إلى ترقية الموجهات الطرفية أيضا؟
ج: لا تتأثر أجهزة Cisco IOS XE بهذه المشورة.
س: نحن تغشية مستضافة من Cisco. هل نحن بحاجة إلى إصلاح أي قوائم تحكم في الوصول (ACL) أو إتخاذ إجراء حول بروتوكول SSP؟
ج: ينصح جميع العملاء الذين تستضيفهم Cisco بمراجعة القواعد الواردة المسموح بها الخاصة بهم والتي تتم مراجعتها على SSP وضمان السماح بالبادئات الضرورية فقط من جانبك. هذه القواعد خاصة بالوصول إلى الإدارة فقط ولا تنطبق هذه القواعد على الموجهات الطرفية. الرجاء مراجعتها في SSP > تفاصيل التغشية > السماح بالقواعد الواردة. يرجى ملاحظة أن المنفذ 22، 830 تم حظره دائما بشكل افتراضي في اليوم 0 الذي تقوم فيه Cisco بالإمداد من الخارج إلى وحدات التحكم المستضافة على السحابة.
Q:نحن على CDCS / المستأجر المشترك. ما الإصدار الذي ستتم ترقيتنا إليه؟
ج: استنادا إلى الإصدار الحالي، يوجد المستأجر المشترك أو مجموعات CDCS في الوقت الحالي في جدول زمني لترقيتها أو ترقيتها بالفعل إلى الإصدارات الثابتة. هنا المستأجر المشترك وإصدارات CDCS الثابتة:
1 - مجموعات المتبنين الأوائل => 20.18.2.1 (وهذا في الواقع هو نفس الإصدار القياسي)
2. يوصي إصدار مجموعات => 20.15.405 (CDCS إصدار محدد مع إصلاحات PSIRT)
لا يحتاج عملاء خدمة CDCS إلى إتخاذ أي إجراء بشكل فعال لمعالجة هذه المشكلة.
س: ما هي أفضل الممارسات أو الطرق العامة للحد من مواطن الضعف لشبكات SD-WAN؟
ج: ارجع إلى دليل تقوية Cisco Catalyst SD-WAN للحصول على أفضل الممارسات والتوصيات لتقليل نقاط الضعف في تغشية SD-WAN لديك.