这个问题是他们的在线NAC设备LANShield控制器不能恰当地检测登出。这就意味着一个用户能够简单地扮演另一个用户的身份，因为攻击者已经在网络的本地，能够轻松地从墙里抽出电缆线或者向PC插入设备。ConSentry公司表示它在未来发布的产品中将解决这个问题。但是，你在此期间能做什么呢?

　　首先，如果你在活动目录环境中使用Windows，你能够做的第一件事情就是在活动目录的组策略对象中管理登录缓存。在默认状态下，工作站将缓存最后10个登录项。这个好处是，如果一台工作站不能访问这个目录，用户仍然能够登录这个工作站并且进行工作。攻击者也能够抽出网络电缆线，使用已经缓存的活动目录账户登录，重新连接这个电缆，像以前的用户一样访问这个网络。如果你关闭登录缓存，把存储的登录项设置为零，不允许使用本地账户登录，那么，如果没有这个活动目录的话，这个用户就不能登录网络。这样做的缺点是，如果这个用户不能登录，他们就不能工作。因此，你需要有一个容错的活动目录，否则只能忍受。在任何情况下，这样做至少可以堵住一个攻击通道。

　　然而，把笔记本电脑上缓存的登录项目设置为零是不起作用的。Windows根本就不处理多个用户账户。如果你能够把你的笔记本电脑的缓存登录数量设置为零，你就不是移动用户了。此外，绕过ConSentry公司解决方案的另一种方法是拔掉工作站的电缆，用另一台工作站的MAC和IP地址替代这台工作站。我们也许能够从网络中找到一个潜在的解决方案，使用IP锁定的功能把IP地址和MAC地址映射到一个交换机端口，击败强制移动地址的行为。现在，Fratto还没有对这种方法进行测试。但是，他计划找出这个提议的解决方案的功效和缺点。

　　DHCP(动态主机控制协议)很容易处理。思科、Extreme和惠普等公司生产的交换机都支持强制分配DHCP。这台交换机嗅探DHCP握手，把提供的IP地址镜像到一个MAC地址和一个端口。如果这个IP地址在另一台交换机的端口上显示出来，这个端口发出的全部通讯都会被拒绝。此外，当主机与交换机断开，交换机端口关闭时，镜像的IP地址将被删除。这两项功能旨在防止物理假冒身份。在一些初步测试中，Fratto发现，当失去物理连接时，至少Windows主机在重新连接时能够再一次运行DHCP。

　　这对于DHCP是很好的。但是，拥有静态IP地址的主机如何呢?这是IP地址管理方面比较难的问题。你可以静态地把IP地址镜像到端口。但是，如果你在一个规模较大的机构中，静态镜像将成为一项繁重的工作。Fratto对于这种事情没有解决方案，只能建议让你的工作站使用DHCP或者部署802.1X。一般来说，使用DHCP，主机能够继续接收同样的IP地址，你可以静态地把IP地址镜像到MAC地址。一旦你完成静态镜像，这将减少许多管理开销。

　　强制执行NAC和网络基础设施最终将合并，这并不是排斥其它的NAC技术，而是在交换机上强制执行网络是有意义的，无论对于802.1X网络或者ConSentry或Nevis Networks等公司制造的专用安全交换机都是如此。当这种方法奏效时，也许这些奇怪的做法会半途而废。同时，你要检查一下你的交换机能够做什么。