Правильно поставленный вопрос 90% ответа.
1. MAC адреса в нынешних железках легко изменяются.
2. В такой ситуации спасает свитч который умеет авторизовать подключение по порту через Radius. В этом случае даже шифрование включить можно. Даже для WiFi такая авторизация лучшее решение.
3. У Intel security (бывш. McAfee) есть Rogue System Detection.
PS У меня как-то в сети обычная точка доступа CiSCO ни стого ни с сего решила побыть dhcp сервером, веселухи было...