Non sono sicuro di alcuna implementazione commerciale, ma ho visto una idea interessante che puoi monitorare la vicinanza fisica utilizzando l'intensità del segnale, quale AP, ecc. e determinare se la posizione è improvvisamente molto diversa, è probabile che si tratti di uno spoofer. Ho trovato anche un interessante articolo su rilevamento dello spoofing utilizzando una tecnica di impronta digitale .
Il captive portal sarà una pagina web. Potresti o meno bloccare tutte le altre porte prima dell'autenticazione, supponiamo di poter ottenere solo 443 (80 reindirizzamenti su 443) e consentire solo HTTPS. A questo punto possono solo accedere alla pagina del tuo captive portal. Una volta accettati i termini, accedi, ecc. Puoi quindi aprire le altre porte e consentire la navigazione web ovunque debbano andare.
Se ti trovi in un ambiente aziendale, probabilmente vorrai implementare 802.1x, certificati, VPN, ecc. per lasciarli andare ovunque e tenere aperte solo le porte minime per gli utenti autenticati. La VPN su IPSec o su un livello superiore renderebbe meno probabile il problema dello spoofing. Questo ti permette di limitare l'accesso dove non importa se spoofano il mac, perché possono ancora uscire solo dalla VPN, e avrebbero bisogno di attaccare la VPN.
Se sei un hotel in cui stai monitorando le persone per numero di camera, lo spoofing del MAC darebbe a qualcuno un passaggio gratuito, ma termina dopo il periodo di tempo per il quale l'utente legit pagava. È possibile implementare qualcosa a livello di proxy Web per controllare determinati cookie, intestazioni, ecc. Che saranno più specifici del cliente.
La principale sfida per la sicurezza del wifi è quella su una rete aperta, a meno che non si stia eseguendo la crittografia per tipo di host (ad esempio, VPN). Un indirizzo MAC non dovrebbe mai essere considerato sufficiente per identificare qualcuno.
Ecco alcune risorse relative alla sicurezza e ai portali in cattività: