إصلاح نصيحة الأمان Catalyst SD-WAN - فبراير 2026

المقدمة

يصف هذا المستند الخطوات الرامية إلى تحديد مواطن الضعف الأمنية الحيوية وإصلاحها في شبكة WAN الآمنة (SD-WAN) استنادا إلى إرشادات PSIRT المؤرخة في 25 فبراير 2026.

---

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• بنية Cisco Catalyst SD-WAN ومكونات التحكم (vManage و vSmart و vBond)
• إجراء ترقية Cisco Catalyst SD-WAN
• إدارة حالة Cisco TAC وإجراءات تجميع admin-tech

المكونات المستخدمة

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

---

معلومات أساسية

للحصول على معلومات أساسية مفصلة وآخر التحديثات، يرجى الرجوع إلى الصفحة الاستشارية الرسمية ل PSIRT.

تتوفر هذه المستشارين في هذه الارتباطات:

• مكامن الضعف Cisco Catalyst SD-WAN
• إمكانية تجاوز مصادقة وحدة تحكم SD-WAN من Cisco Catalyst
  
  

ويتم معالجة هذه العيوب بواسطة إرشادات PSIRT التالية:

• معرف تصحيح الأخطاء من Cisco CSCws52722
• معرف تصحيح الأخطاء من Cisco CSCws33583
• معرف تصحيح الأخطاء من Cisco CSCws33584
• معرف تصحيح الأخطاء من Cisco CSCws33585
• معرف تصحيح الأخطاء من Cisco CSCws33586
• معرف تصحيح الأخطاء من Cisco CSCws33587
• معرف تصحيح الأخطاء من Cisco CSCws93470

---

نظرة عامة على سير عمل الإصلاح

الإجراء المطلوب: افتح حالة Cisco TAC لمعالجة نصيحة الأمان هذه.

TAC متوفر ل:

• قم بتقييم بيئتك للحصول على مؤشرات توافقية
• قم بإرشادك خلال مسار الإصلاح المناسب بناء على التقييم
• العمل مع فريق فريق فريق البرنامج المتكامل لتهيئة البيئة البحرية في حالة تحديد مؤشرات توفيقية
• توفير إرشادات ودعم للترقية في حالة عدم اكتشاف أي مؤشرات للمساومة

1. تجميع Admin-Techs - تشغيل Admin-tech على جميع مكونات التحكم (vSmart و vManage و vBond). يجب ألا يتم تشغيل تقنية vSmart admin في نفس الوقت، بل يجب تشغيلها مرة واحدة في كل مرة. ويمكن جمع كل الملفات الأخرى بأي ترتيب. حدد سجل وخيارات تقنية.  Core غير مطلوب.
2. فتح حالة مركز المساعدة الفنية - الاتصال ب Cisco TAC وتوفير جميع مجموعات السجلات الفنية لمسؤول مكون التحكم
3. تقييم TAC - يقوم TAC بتقييم بيئتك بحثا عن مؤشرات التوافق
4. تنفيذ الإصلاح - إكمال العملية المحددة التي يوفرها TAC

---

---

الخطوة 1: تجميع ملفات Admin-tech من جميع مكونات التحكم

مطلوب: قم بجمع ملفات admin-tech من جميع مكونات التحكم قبل فتح حالة مركز المساعدة الفنية الخاصة بك. يعتبر هذا أمرا أساسيا ل TAC لتقييم بيئتك.

المجموعة:

1. تشغيل Admin-tech على كافة وحدات التحكم (vSmart) - لا تقم بتشغيل هذه الوحدات في نفس الوقت؛ جمع واحد في كل مرة
2. تشغيل Admin-tech على كافة المدراء (vManage)
3. تشغيل Admin-tech على كافة عوامل التحقق من الصحة (vBonds)

تجميع تقنية Admin في بيئة SD-WAN وتحميل إلى حالة TAC

البديل: التحقق اليدوي (فقط في حالة تعذر تجميع admin-tech)

بالنسبة لهؤلاء الذين لا يمكنهم مشاركة ملفات admin-tech، تتوفر خطوات التحقق اليدوي. توفر هذه الخطوات مؤشرات أولية يجب توثيقها ومشاركتها مع TAC.

راجع قسم "خطوات التحقق اليدوي" في نهاية هذا المستند للاطلاع على الإجراءات التفصيلية. قم بتوثيق جميع النتائج وقدمها إلى TAC في حالة الدعم الخاصة بك.

---

الخطوة 2: فتح حالة مركز المساعدة الفنية وتحميل ملفات admin-tech

بعد تجميع جميع ملفات admin-tech من الخطوة 1، افتح حالة دعم Cisco TAC.

الإجراءات المطلوبة:

1. فتح حالة مركز المساعدة الفنية ذات مستوى الخطورة المناسب لتأثير شركتك
2. تحميل جميع مجموعات السجلات الفنية للمسؤول التي تم تجميعها في الخطوة 1 (وحدات التحكم والمديرين والمحققين من الصحة)
3. الإشارة إلى إرشادات PSIRT
4. انتظار تقييم TAC وإرشاده

---

الخطوة 3: تقييم TAC

يحلل TAC ملفات admin-tech التي تم تحميلها ويحدد حالة النظام.

خلال هذا الوقت:

• انتظار تقييم رسمي من TAC قبل إتخاذ أي إجراء
• يقوم TAC بالاتصال بك ليخبرك بالنتائج التي توصلوا إليها والخطوات التالية

---

الخطوة 4: تنفيذ المعالجة (TAC-Guided)

يقوم مركز المساعدة الفنية (TAC) بتوجيهك خلال عملية الإصلاح المناسبة بناء على تقييمهم. قم بإكمال جميع التعليمات المقدمة من قبل TAC.

المسار أ: لم يتم العثور على مؤشرات توفيقية - الترقية

إذا أكد TAC أنه لا يوجد دليل على وجود تضحيات، فيمكنك الترقية إلى إصدار البرنامج الثابت. حدد الإصدار المناسب من جدول إصدارات البرامج الثابتة في هذا المستند، وأرجع دليل الترقية المرتبط في هذا القسم.

ترقية وحدات التحكم في SD-WAN باستخدام واجهة المستخدم الرسومية (GUI) vManage أو واجهة سطر الأوامر (CLI)

المسار ب: تحديد مؤشرات الحل الوسط - بإرشاد من PSIRT

إذا أكد مركز المساعدة الفنية وجود مؤشرات توافقية، قم بإكمال جميع التوجيهات المقدمة من مركز المساعدة الفنية.

---

إصدارات البرامج الثابتة

تحتوي إصدارات البرامج هذه على حلول للمكامن الضعف المحددة:

ينطبق على الإصدارات الحالية	الإصدار الثابت	البرامج المتوفرة
20.3 و 20.6 و 20.9	20.9.8.2 *	20.9.8.2 ترقية الصور ل vManage و vSmart و vBond
20.10 و 20.11 و 20.12.5 وما قبله في 20.12	20.12.5.3	20.12.5.3 صور ترقية ل vManage و vSmart و vBond
20.12.6	20.12.6.1	20.12.6.1 صور الترقية ل vManage و vSmart و vBond
20.13 و 20.14 و 20.15.x	20.15.4.2	20.15.4.2 صور الترقية ل vManage و vSmart و vBond
20.16 و 20.17 و 20.18.x	20.18.2.1	20.18.2.1 صور الترقية ل vManage و vSmart و vBond

* إذا كنت في الإصدار 20.9 أو إصدار سابق: البرنامج الثابت للإصدار (20.9.8.2) متوفر في 2/27. توصي Cisco بالبقاء داخل الإصدار الرئيسي الحالي وانتظار الإصدار 20.9.8.2 بدلا من الترقية إلى إصدار رئيسي أعلى (20.12، 20.15، 20.18). إذا كنت حاليا في إصدار أقل من 20.9، فانتظر حتى تتم الترقية إلى الإصدار 20.9.8.2. استمر في العمل مع TAC والرجوع إلى 2/27 للحصول على رابط البرنامج المتاح.

مراجع مهمة:

• مصفوفة الترقية
• مصفوفة توافق وحدة التحكم

---

الملحق: خطوات التحقق اليدوي (فقط في حالة عدم إمكانية تجميع admin-tech)

المتطلبات: يجب تنفيذ هذه الخطوات على جميع مكونات التحكم.

التحقق 1: التحقق من تسجيل دخول SSH غير المصرح به في سجلات المصادقة

الخطوة 1: تحديد عناوين IP الصحيحة لنظام vManage

الوصول إلى كل وحدة تحكم vSmart والتنفيذ:

west-vsmart# show control connections | inc "vmanage|PEER|IP"

مثال الإخراج:

                                                    PEER                                                                                    PEER
      PEER  PEER  PEER            SITE       DOMAIN  PRIV    PEER                              PUB     PEER
INDEX TYPE  PROT  SYSTEM IP       ID         ID      PRIVATE IP                        PORT    PUBLIC IP                         PORT    ORGANIZATION        REMOTE COLOR  STATE  UPTIME
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0     vmanage dtls 10.1.0.18     101018     0       10.1.10.18                        12346   10.1.10.18                        12346   calo-auto-lab       default       up     5:17:27:22

الخطوة 2: إنشاء سلسلة تعبير نمطية (vBond و vSmart فقط)

دمج جميع عناوين IP الخاصة بالنظام من الخطوة 1 إلى نمط OR regex:

system-ip1|system-ip2|...|system-ipn

الخطوة 2 ب: خطوة إضافية لأنظمة vManage

إذا كنت تقوم بتشغيل هذه الأوامر على vManage نفسه، فقم بإلحاق عنوان IP الخاص بالمضيف المحلي (127.0.0.1) وبروتوكول IP الخاص بالنظام المحلي وجميع عناوين IP الخاصة بالمجموعات وواجهة نقل VPN 0 إلى المحول:

system-ip1|system-ip2|...|system-ipn|127.0.0.1|

للعثور على IP المحلي لنظام vManage، أستخدم:

show control local-properties

للعثور على IP لواجهة النقل VPN 0 و IP لنظام المجموعة، أستخدم:

show interface | tab

الخطوة 3: تنفيذ أمر التحقق

ركضت هذا أمر، يستبدل REGEX مع regex خيط من خطوة 2:

west-vsmart# vs
west-vsmart:~$ zgrep "Accepted publickey for vmanage-admin from " /var/log/auth.log* | grep -vE "\s(REGEX)\s"

الخطوة 4: ترجمة النتائج والمستند ل TAC

إذا لم يتم عرض أي مخرجات:

• لم يتم الكشف عن أي مؤشرات للتوافق على هذا الجهاز
• توثيق هذه النتيجة لحالة TAC الخاصة بك
• مواصلة تقييم وحدات التحكم المتبقية

إذا تم طباعة بنود السجل:

• تحقق بعناية من كل عنوان IP ظاهر
• تحقق من عدم إرتباط IP بالبنية الأساسية vManage (عنوان IP لنظام المجموعة أو بروتوكول IP لنظام قديم أو ما شابه)
• إذا لم تتمكن من تعريف IP المصدر على أنه شرعي، فيمكن أن يشير ذلك إلى المؤشرات المحتملة للتسوية
• يعرض إدخال السجل الطابع الزمني وعنوان IP للمصدر
• توثيق جميع النتائج وفتح حالة مركز المساعدة الفنية على الفور
• تضمين إدخالات السجل، والأختام الزمنية، و IPs المصدر في حالتك
• يقوم TAC بتحديد التقييم الرسمي

التحقق 2: التحقق من إتصالات النظير غير المصرح بها في وحدات التحكم syslog

يستخرج هذا الأمر جميع أزواج نوع النظير ونظام IP من ملفات syslog لوحدة التحكم ويخرجهم كقائمة لك لمراجعتها. وهو لا يقوم تلقائيا بتمييز الإدخالات المشبوهة — يجب عليك فحص الإخراج وتحديد ما إذا كان كل عنوان IP لنظام النظير هو جزء معروف وشرعي من بنية SD-WAN الأساسية لديك. قم بتشغيل هذا على كافة مكونات عنصر التحكم (وحدات التحكم والمديرين وأجهزة التحقق من الصحة).

الخطوة 1: قم بتشغيل الأمر على كل مكون تحكم:

قم أولا بالوصول إلى vshell وانتقل إلى دليل السجل:

vs
cd /var/log

ثم قم بتشغيل الأمر التالي:

awk '{
  match($0, /peer-type:([a-zA-Z0-9]+)[^ ]* peer-system-ip:([0-9.:]+)/, arr);
  if(arr[1] && arr[2]) print "(" arr[1] ", " arr[2] ")";
}' vsyslog* | sort | uniq

الخطوة 2: ترجمة النتائج والمستند ل TAC

إذا كانت المخرجات تعرض فقط عناوين IP المعروفة لنظام vManage/vSmart/vBond:

• لم يتم الكشف عن أي مؤشرات للتسوية من هذا التحقق
• توثيق هذه النتيجة لحالة TAC الخاصة بك
• مواصلة تقييم مكونات الرقابة المتبقية

إذا احتوى الإخراج على عناوين IP لنظام نظير غير متعرف عليها:

• تحقق بعناية من كل عنوان IP ونوع نظير معروض
• تحقق من عدم إرتباط IP بالبنية الأساسية المعروفة لمستوى التحكم في SD-WAN
• إذا لم تتمكن من تعريف IP المصدر على أنه شرعي، فيمكن أن يشير ذلك إلى المؤشرات المحتملة للتسوية
• توثيق جميع النتائج وفتح حالة مركز المساعدة الفنية على الفور
• تضمين إخراج الأمر بالكامل مع أزواج نظام النظير و بروتوكول الإنترنت في حالتك
• يقوم TAC بتحديد التقييم الرسمي

التحقق 3: قراءة ملف DCA

الخطوة 1: ما الذي يجب البحث عنه

ملف السجل: /var/log/nms/containers/service-proxy/serviceproxy-access.log

مثال على سطر السجل:

[2026-03-04T01:45:06.239Z] "GET /reports/data/opt/data/containers/config/data-collection-agent/.dca HTTP/1.1" 200 - 0 32 1 - "" "python-requests/2.32.5" "ae076862-2244-45a6-844f-bc2af970e570" "192.168.2.3" "127.0.0.1:8080"

الخطوة 2: أمر البحث اليدوي

من انتهائية — ابحث داخل حزمة Admin-tech المستخلصة:

zgrep -r "data-collection-agent/.dca" var/log/nms/containers/service-proxy/serviceproxy-access.log*

التحقق 4: إجتياز المسار / الكتابة فوق الملف التعسفي

الخطوة 1: ما الذي يجب البحث عنه

ملف السجل: /var/log/nms/vmanage-server.log

مثال بنود السجل:

06-Mar-2026 02:16:34,029 UTC INFO  [285fcdc0-30fa-4ca0-8e06-6953a095a59a] [LAB-TEST-1] [SmartLicensingManager] (default task-11229) |57501bad-32a7-4f52-8f54-8547dcd7403e| Time taken to write file ../../../../../../../../../../../var/lib/wildfly/standalone/deployments/cmd.gz.war = 2 ms to directory /opt/data/app-server/software/package/license/ack
04-Mar-2026 15:40:02,683 IST INFO  [ca0e641b-acc7-42a6-b39b-bf3d28be0bcb] [LAB-TEST-1] [SmartLicensingManager] (default task-1235) |default| Time taken to write file ../../../../../../../../../../../var/lib/wildfly/standalone/deployments/sysv.gz.war = 0 ms to directory /opt/data/app-server/software/package/license/ack
27-Feb-2026 08:49:27,169 IST INFO  [d9976a9d-071e-4e07-a3ef-4e90019cae12] [LAB-TEST-1] [SmartLicensingManager] (default task-809) |default| Time taken to write file ../../../../../../../../../../../var/lib/wildfly/standalone/deployments/authscp.gz.war = 0 ms to directory /opt/data/app-server/software/package/license/ack

تحذير: اسم الملف الظاهر في الأمثلة (على سبيل المثال، cmd.gz.war) هو توضيحي فقط. الحالات الحقيقية يمكن أن تستخدم أسماء ملفات مختلفة. قم بتسجيل كافة أسماء ملفات المتجاور الفريدة المحددة، حيث يمثل كل واحد حمولة مسقطة منفصلة.

الخطوة 2: أمر البحث اليدوي

من انتهائية — ابحث داخل حزمة Admin-tech المستخلصة:

grep -rE "SmartLicensingManager.*Time taken to write file \.\.\/" var/log/nms/vmanage-server.log*

يتضمن السجلات التي تم تدويرها/ضغطها:

zgrep -E "SmartLicensingManager.*Time taken to write file \.\.\/" var/log/nms/vmanage-server.log*

لالتقاط سطور السياق ذات الصلة (تحميل معالجة واجهة برمجة التطبيقات وكتابة الأحداث):

grep -rE "SmartLicensingManager.*(write file|is processing|stringUrl|Failed to download).*/wildfly" var/log/nms/vmanage-server.log*

التحقق 5: نشر الملفات 

الخطوة 1: ما الذي يجب البحث عنه

ملف السجل: /var/log/nms/containers/service-proxy/serviceproxy-access.log

يتم وضع علامة على أي طلب نشر لنمط URI *.gz/*.jsp. تحدد حالة HTTP الخطورة:

حالة HTTP	المعنى	تسوية مؤكدة؟
200	قام الخادم بتنفيذ WebShell؛ الحمولة نشطة	نعم - تسوية مؤكدة

مثال بنود السجل:

[2026-03-04T08:03:33.295Z] "POST /cmd.gz/cmd.jsp HTTP/1.1" 200 - 6 63 78 - "" "python-requests/2.32.5" "9d842c1a-b96f-4d04-ac3d-542ec3dd734b" "192.168.2.3" "127.0.0.1:8080"

الخطوة 2: أمر البحث اليدوي

من انتهائية — ابحث داخل حزمة Admin-tech المستخلصة:

grep -rE '"POST /[^"]+\.gz/[^"]+\.jsp HTTP' var/log/nms/containers/service-proxy/serviceproxy-access.log*

يتضمن السجلات التي تم تدويرها/ضغطها:

zgrep -E '"POST /[^"]+\.gz/[^"]+\.jsp HTTP' var/log/nms/containers/service-proxy/serviceproxy-access.log*

لفصل التنفيذ المؤكد (HTTP 200) عن محاولات لم يتم تنفيذها بواسطة 200 محاولة:

# HTTP 200 only - confirmed webshell execution:
grep -rE '"POST /[^"]+\.gz/[^"]+\.jsp HTTP[^"]*" 200' var/log/nms/containers/service-proxy/serviceproxy-access.log*

---

الأسئلة المتكررة

س: ما هي الخطوة الأولى لمعالجة هذه المشورة الأمنية؟

ج: تجميع ملفات admin-tech من جميع مكونات التحكم وفتح حالة مركز المساعدة الفنية لتحميل الملفات. يقوم مركز المساعدة الفنية (TAC) بتقييم بيئتك وتوفير الإرشادات حول الخطوات التالية.

س. ما الإصدار الذي أحتاج إلى الترقية إليه؟ 

أ. يرجى الترقية إلى أقرب إصدار ثابت في أقرب وقت.

س: هل أحتاج إلى جمع الفنيين المسؤولين من جميع مكونات التحكم؟

ج: نعم، يتطلب TAC ملفات تقنية الإدارة من جميع وحدات التحكم (تقنية vSmart، التي يتم تجميعها في كل مرة)، وجميع المدراء (vManage)، وجميع أجهزة التحقق من الصحة (vBond) لتقييم بيئتك بشكل صحيح.

س: كيف يحدد TAC ما إذا كان نظامي قد تعرض للخطر؟

ج: يقوم TAC بتحليل ملفات admin-tech باستخدام أدوات متخصصة لتقييم البيئة الخاصة بك بحثا عن مؤشرات للتسوية.

س: ماذا يحدث إذا جرى تحديد مؤشرات للتسوية؟

ج: يتصل TAC بك لمناقشة الخطوات والإرشادات التالية الخاصة ببيئتك. لا تقوم Cisco بإجراء الإصلاح بالنيابة عنك — يوفر TAC التوجيه اللازم لك للمتابعة.

س: كيف يمكنني معرفة أي إصدار من البرامج الثابتة يمكن إستخدامه؟

ج: ارجع إلى جدول إصدارات البرامج الثابتة في هذا المستند. يؤكد TAC الإصدار المناسب لبيئتك الخاصة.

س: هل يمكنني بدء الترقية قبل قيام TAC بتحليل Admin-Techs؟

ج: لا، انتظر حتى يكمل TAC تقييمه ويقدم الإرشادات قبل محاولة أي إجراءات إصلاح.

س: هل من المتوقع حدوث وقت التوقف عن العمل أثناء الإصلاح؟

ج: يعتمد التأثير على بنية النشر ومسار الإصلاح. يوفر TAC إرشادات حول تقليل تأثير الخدمة أثناء العملية إلى الحد الأدنى.

س: هل يتم تضمين إصلاحات PSIRT في الإصدار 20.15.5 القادم والإصدارات الأخرى القادمة؟ 

ج: نعم، يتم تضمين الإصلاحات في الإصدار 20.15.5 والإصدارات القادمة الأخرى. ومع ذلك، يجب تحديد أولوية الترقية على الفور للحد من مواطن الضعف الموضحة في هذا المستند. (لا تنتظر!)

س: هل يلزم ترقية جميع وحدات التحكم في حالة عدم العثور على مؤشرات توفيقية؟

ج: نعم، يجب ترقية جميع مكونات التحكم في شبكة SD-WAN (vManage و vSmart و vBond) إلى إصدار برنامج ثابت. لا تكفي ترقية مجموعة فرعية من وحدات التحكم فقط.

س: لدي تغشية على شبكة SD-WAN مستضافة بواسطة السحابة. ما هي خياراتي للترقية؟

ج: بالنسبة للتغشيات التي تستضيفها السحابة، يتوفر للعملاء خياران:

1. تحقق مما إذا كانت البيئة الخاصة بك مجدولة لإجراء ترقية مؤتمتة عن طريق الانتقال إلى SSP > تفاصيل التغشية > تغيير Windows.
2. إذا كنت لا تريد انتظار الترقية المجدولة، فلديك خياران:
   • قم بالترقية بنفسك باستخدام أدلة الترقية المتوفرة في هذا المستند.

   • فتح حالة مركز المساعدة الفنية (TAC) الاحتياطي لنافذة الصيانة المفضلة لديك. يتوفر TAC لمساعدتك إذا واجهت صعوبات في الترقية.

س: هل نحن بحاجة إلى ترقية الموجهات الطرفية أيضا؟

ج: لا تتأثر أجهزة Cisco IOS XE بهذه المشورة.

س: نحن تغشية مستضافة من Cisco. هل نحن بحاجة إلى إصلاح أي قوائم تحكم في الوصول (ACL) أو إتخاذ إجراء حول بروتوكول SSP؟

ج: ينصح جميع العملاء الذين تستضيفهم Cisco بمراجعة القواعد الواردة المسموح بها الخاصة بهم والتي تتم مراجعتها على SSP وضمان السماح بالبادئات الضرورية فقط من جانبك. هذه القواعد خاصة بالوصول إلى الإدارة فقط ولا تنطبق هذه القواعد على الموجهات الطرفية. الرجاء مراجعتها في SSP > تفاصيل التغشية > السماح بالقواعد الواردة. يرجى ملاحظة أن المنفذ 22، 830 تم حظره دائما بشكل افتراضي في اليوم 0 الذي تقوم فيه Cisco بالإمداد من الخارج إلى وحدات التحكم المستضافة على السحابة.

س: نحن على CDCS / المستأجر المشترك. ما الإصدار الذي ستتم ترقيتنا إليه؟ 

ج: استنادا إلى الإصدار الحالي، يوجد المستأجر المشترك أو مجموعات CDCS في الوقت الحالي في جدول زمني لترقيتها أو ترقيتها بالفعل إلى الإصدارات الثابتة. هنا المستأجر المشترك وإصدارات CDCS الثابتة:

1 - مجموعات المتبنين الأوائل => 20.18.2.1 (وهذا في الواقع هو نفس الإصدار القياسي)

2. يوصي إصدار مجموعات => 20.15.405 (CDCS إصدار محدد مع إصلاحات PSIRT)

لا يحتاج عملاء خدمة CDCS إلى إتخاذ أي إجراء بشكل فعال لمعالجة هذه المشكلة.

س: ما هي أفضل الممارسات أو الطرق العامة للحد من مواطن الضعف لشبكات SD-WAN؟

ج: ارجع إلى دليل تقوية Cisco Catalyst SD-WAN للحصول على أفضل الممارسات والتوصيات لتقليل نقاط الضعف في تغشية SD-WAN لديك.

س: نشاهد سجلات مستخدم "جذري" على نظامنا.  هل هذا يقلق؟ 

ج: تحقق من أي شيء آخر يحدث في النظام في ذلك الوقت.   يمكن توقع هذه السجلات بشكل كامل.  على سبيل المثال، يتم عرض سجلات تغيير تسجيل دخول النظام من مستخدم "جذر" عند إنشاء تقنيات مسؤول.  كما يمكن مشاهدة السجلات من مستخدم "جذر" أثناء إعادة التشغيل.  

Feb 28 23:03:44 Manager01 SYSMGR[863]: %Viptela-Manager01-sysmgrd-6-INFO-1400002: Notification: system-login-change severity-level:minor host-name:"Manager01" system-ip: user-name:"root" user-id:245  generated-at:2-28-2026T23:3:44
Feb 28 23:03:47 Manager01 SYSMGR[863]: %Viptela-Manager01-sysmgrd-6-INFO-1400002: Notification: system-login-change severity-level:minor host-name:"Manager01" system-ip: user-name:"root" user-id:248  generated-at:2-28-2026T23:3:47

س: وقد قمنا بالفعل بترقية هذه النسبة دون أن تتوفر أية مؤشرات للتسوية. بعد إطلاق اللجنتين الأولمبيتين الجديدتين في السابع عشر من مارس، ماذا علي أن أفعل؟

ج: يحتوي البرنامج المدرج كبرنامج ثابت على حماية من المحاولات الإضافية لاستغلال CVEs المدرجة في النذيرين المشمولين في هذه المقالة. أثناء قيام الترقية بالحماية ضد أية مستغلات مستقبلية، قد تكون هناك مستغلات موجودة لا تزال موجودة قبل الترقية. يوصى بأن يستخدم العملاء الخدمة الذاتية "التحقق من تطبيق الأخطاء" المدمجة في صفحة أداة البحث عن الأخطاء لمعرف تصحيح الأخطاء من Cisco CSCws52722 لإعادة ضبط admin-الفنية من مكونات التحكم. إذا لزم الأمر، يمكن للعملاء فتح حالة مركز المساعدة الفنية (TAC) وتكرار العملية الموضحة في هذه المقالة لإعادة ضبط فنيي الإدارة استنادا إلى اللجنة الأولمبية الدولية الجديدة. b

---

---