Risposta pertinente a una domanda esistente qui: Può essere protetto un captive portal
You can generate a session key and store it in a cookie client side which contains a session token to authenticate the client to the Proxy (yes proxy!). (do make sure it's sent over HTTPS as otherwise it's completely useless)
The proxy does bring a limitation when it comes to other types of traffic such as SSH (taking out of scope that your users know how to tunnel traffic over HTTP). To solve this problem you can step away from the whole 'captive portal' story and try another authentication method like PEAP.
Note that setting up a good way of authentication is not easy as there are many ways of bypassing captive portals, for instance: DNS Tunneling, ICMP Tunneling, HTTP Tunneling
Apparentemente alcuni router hanno un'impostazione di 'Isolamento client' o 'Isolamento wireless' che può impedire ai dispositivi su una rete di comunicare tra loro (mitigando qualsiasi attacco di avvelenamento ARP).
Fonte: link
È inoltre possibile implementare WPA2 Enterprise che crittografa il traffico a livello di utente, utilizzando ciascun membro delle credenziali uniche di rete (nome utente e password).