Spanning Tree(STP) her nekadar oluşabilecek loop’ları engellemek için çalışan bir protokol olsa da, böyle güzel işler yapmaya çalışan bir protokolün de belli önlemler alınarak yapılandırılması gerektiği gerçeğini ortadan kaldıramamaktadır. Alınabilecek önlemlerden ilki, “Portfast” enable edilen porttaki BPDU paketlerini engellemek ya da bir şekilde filtrelemektir. Kısaca PortFast’i anlatmak gerekirse; PortFast,portları listening learning gibi loop önleyen aşamalardan geçirmeyerek, çok hızlı bir şekilde ilgili portun açılmasını sağlamaktadır. Bu portlardan BPDU mesajı alındığında topoloji tamamen bozulabilir ve hatta sorunun loop’a kadar büyümesine neden olabilir. Bununla beraber Cisco switchler üzerinde yapılacak RootGuard yapılandırması ile, bir porta bağlanan cihazın küçük olan bridge ID’si topolojiyi etkileyerek root olarak seçilmesini engelleyecektir.
| Cisco IOS üzerinde STP BPDU ve Root Guard Kısıtlamaları | |
| Komut | Açıklama |
| spanning-tree portfast bpduguard | Switch üzerinde BPDU guard’ı aktif eder. |
| spanning-tree guard root | Switch üzerinde Root guard’ı aktif eder. |
| spanning-tree rootguard | Farklı IOS’larda ki kullanım şekli. |
Switchlerin üzerinde sınırlı sayıda mac adresi kayıt altına alınabilir. lipitor generic Bu da saldırgan kişiler tarafından atak yapılabilecek bir açık olarak değerlendirilebilir. Switche bağlı kişi çok kısa sürede çokça kez mac adresini değiştirerek dchp sunucusundan ip isteğinde http://flagylgeneric-online.net/ bulunur, bu sayede hem dhcp havuzunu hem de switch üzerindeki mac adres tablosunu doldurarak atağın ilk aşamasını tamamlamış olurlar. Switch üzerindeki mac addreslerinin
tutulduğu veritabanı dolunca switch hub olarak görev yapmaya başlar. Bu da switch üzerindeki tüm trafiğin tüm portlara yönlendirilmesi anlamına gelmektedir. Artık bu aşamadan sonra cihaz üzerindeki tüm trafiği dinleyebilen saldırgan artık network’ün bir parçası haline gelmiştir:) Bu atağı engellemek için cisco cihazlarda aşağıdaki konfigürasyon kullanılabilir.
| Cisco IOS Üzerinde MAC Adres Tablosu Ataklarına Karşı Kısıtlama | |
| Komut | Açıklama |
| int range FastEthernet 0/1 – 24 | Değişiklik yapılacak interface’ler (ya da interface) belirlenir. |
| switchport port-security | Port-Security aktif edilir. |
| switchport port-security maximum 10 | İnterface üzerinde izinli sayılacak mac adresi sayısı belirlenir. |
| switchport port-security violation protect | İzinsiz mac’lere switch tarafından uygulacak yaptırım belirlenir. |
| switchport port-security aging time 5 | Örnekte görüldüğü üzere, mac adresi 5 dakika “inactivity” modunda kaldıktan sonra tablodan silineceğini gösterir. |
| switchport port-security aging type inactivity | İlgili mac adreslerinin tablodan silinmesini gerektirecek şart belirlenir. |
| NOT:Örnekte “range” komutuyla birden fazla porta uygulanmıştır, komutlar yalnızca istenilen interface’e de uygulanabilmektedir. | |