Увеличить секурность

[Gobzavr]

Есть говносетка в десяток машин и одну WiFi точку (именно точку, не роутер) TPLink WA901N
На WiFi точке поднят multissid. На нем висит на виланах две сети: рабочая (часть ПК в торговом зале на wifi висят ввиду особенностей ремонта за 100500 тыщ денег) и гостевая, для гостей заведения.

По причине дорогого ремонта денег на ИТ осталось, сколько осталось
В наследство от старого владельца остался шлюз на базе KWF6.5, контроллер домена на 2003R2 Standart, неуправляемый свич asus 16 портов и с десяток рабочих станций в домене (WinXp,Win7)
То есть впринципе ничего.
Существует две сети (на шлюзе выставлено на LAN IP два адреса из разных подсетей, рабочей и гостевой)

Разграничения все сделаны. И работают хорошо и правильно... но как то от честных людей.
До тех пор, пока руками не выставить на интерфейс устройства, цепляющегося через WiFi IP адрес из рабочей подсети.

Вся секурность в этот момент едет по одному месту.
Вопрос: как программно ограничить доступ в рабочую сеть?
Думаю сделать белый список по MAC адресам (полагаю, что их подбирать можно очень долго и нудно, особенно если доступ будет закрыт т.о, чтобы arp опросы не получилось сделать) для выдачи на DHCP на DC. Всех остальных отшивать. Список для создания "белого списка" не такой и большой, не переломлюсь руками

На данный момент установлены по админ блоку статические IP.

Предвосхищая ваши вопросы: денег не будет ни на что, во всяком разе денег не будет пару месяцев, а дыра уже сегодня.

Как увеличить секурность при таком раскладе?


Также в теме приветствуются телефоны киевских барыг сетевым железом, дабы у них приобрести чтото приличное, но б\у в эту говносеть при случае