Respuesta relevante a una pregunta existente aquí: ¿Se puede asegurar un portal cautivo
Puede generar una clave de sesión y almacenarla en un lado del cliente de cookies que contiene un token de sesión para autenticar al cliente en el Proxy (¡sí, proxy!). (asegúrese de que se envía a través de HTTPS ya que de lo contrario es completamente inútil)
El proxy trae una limitación cuando se trata de otros tipos de tráfico como SSH (sacando del alcance que sus usuarios saben cómo hacer un túnel de tráfico a través de HTTP). Para resolver este problema, puede alejarse de toda la historia del 'portal cautivo' y probar otro método de autenticación como PEAP.
Tenga en cuenta que configurar una buena forma de autenticación no es fácil, ya que hay muchas formas de evitar los portales cautivos, por ejemplo: DNS Tunneling, ICMP Tunneling, HTTP Tunneling
Al parecer, algunos enrutadores tienen una configuración de 'Aislamiento del cliente' o 'Aislamiento inalámbrico' que puede evitar que los dispositivos en una red se comuniquen entre sí (mitigando cualquier ataque de envenenamiento ARP).
Fuente: enlace
WPA2 Enterprise también podría implementarse, lo que encripta el tráfico a nivel de usuario, utilizando cada miembro de las redes con credenciales únicas (nombre de usuario y contraseña).