Используйте Hidden SSID для скрытия общедоступного вещания SSID сети. Это поможет снизить долю обнаружения сети активными стамблерами, в режиме мониторинга она всёравно будет обнаружена. WPA/WPA2 вместо WEP. Создайте ACL лист доверенных MAC-адрессов для подключений. Считайте, пол дела выполнено.

Следите за безопасностью главного беспроводного роутера, чтобы обезопасить себя от атак с прямой компрометацией.

Остальное уже зависит от Вас. Например, если позволяет бюджет компании, 802.11 позволяет выполнять авторизацию по смарткартам (токенам), то, думаю, следует этим обзавестись для своих сотрудников.

купите cisco aironet, все просто и достаточно безопастно.

Господи о боже ты мой!! вы умеете читать!! и даже искать в гугле!! Да, на вашей странице действительно такого не написано похвально коллега.
Только в таких ситуациях лучше пользоваться официальными источниками:
http://www.cisco.com/en/US/products/hw/wireless/ps430/products_qanda_item0900­aecd801e3e59.shtml

читайте до просветления, все описано. Вплоть до моделей.

Q. Does Cisco support both WPA and WPA2?
A. Yes. Cisco wireless products and Cisco Aironet® Series products support both WPA and WPA2.

Например, е-токены от Алладин.


"Захват" оборудования. Как правило, из-за невнимательности или халатности админа. Ставьте хорошие пароли на веб-интерфейс и "режьте" его от чужих глаз файером.

Я не могу Вам посоветовать какое-то определённое решение в связи с тем, что не знаю обширности Вашего предприятия. Если это SOHO-сектор, Asus WLG 500. Многофункциональная точка доступа, достаточно проста в настройке. Если по серьёзнее, я бы предпочёл продукты от CISCO или DLINK.