Bonjour,  
 
Je suis actuellement confronté à un problème que je n'arrive pas à résoudre. Je dispose d'un réseau Wifi composé de 19 bornes, d'un serveur WLSE Cisco pour le management centralisé et d'un Cisco ACS pour l'authentification des users (LEAP).
Mon WLSE me signale un spoofing d'adresse MAC sur une de mes bornes (appelons là B1). Je fais une petite recherche pour voir à qui appartient cette adresse MAC et je la trouve. Le client est connecté sur une autre borne (B5). J'ai identifié le client concerné, c'est l'adresse MAC d'un des médecins. L'adresse MAC en question n'est pas dans le cache ARP de B1 ...
 
Suis-je attaqué ?? Que dois-je faire ???

Je progresse dans mes recherches...
Quand un client change d'AP (roaming), avec LEAP il doit se réauthentifier tout ça ... et une fois que le roaming est fait, si le commutateur auquel est reliée B1 garde sa table d'adresse MAC et que la station apparait aussi sur le commutateur auquel est reliée B5... les deux commutateurs vont se retrouver avec l'adresse MAC dans leur base.
Le WLSE recevant toutes ses infos de la borne B1, il va voir deux chemins pour la même adresse MAC, et du coup il se dire "Waw un pirate, il a volé son adresse MAC !!"
 
Est ce que mon problème pourrait venir de là ?

Je ne sais pas trop mais si tu veux savoir si un tiers utilise ton WLAN en spoofant une MAC autorisée, tu peux t'en assurer en changeant l'address MAC du poste de ce medecin et vérifier si elle continue à être présente sur le réseau ou non.

De toute façon je ne la trouve qu'une seule fois sur le réseau, et puis franchement, si je vais lui piquer son portable pour bidouiller dessus, je pense qu'il m'en colle une ... (oui il est assez... comment dire... con)
 
L'adresse MAC n'est associée qu'une fois à un point d'accès, donc je soupçonne une entourloupe des commutateurs...