Lo mas fácil es hacer una red compartida con cifrado WPA Enterprise y autenticación mediante TTLS. También aunque menos segura puedes utilizar la autenticacion vía MSCHAPv2, no tienes que andar con certificados y para un hacker de tres al cuarto que se supone que es el que te esta haciendo la pascua, pues lo dejas fuera.
con eso por mucho que te clonen la MAC no podrán conectarse, ya que no están autenticados en el servidor.
para las denegaciones de servicio había un tema por ahí que te podría servir
https://foro.seguridadwireless.net/universo-wireless/nesecito-protegerme-de-los-ataques-desautenticacion/msg354633/#msg354633