Определенно WPA2 - он заменяет WPA и считается «безопасным». Используйте AES (у TKIP есть недостатки) с предварительно заданным ключом; сделать его> 13 символов и как можно более случайным / безопасным. Это должно в значительной степени гарантировать, что никто не сможет войти в ваш домашний маршрутизатор. Не то, чтобы кто-либо когда-либо захотел бы - есть множество незащищенных точек доступа, которые они использовали бы первыми.
Фильтрация MAC-адресов в основном бесполезна, так как MAC отправляется в незашифрованном виде, поэтому любой, кто просматривает пакеты, может подождать, пока не придет MAC, который аутентифицирован, а затем подделать его (тривиально). Это просто увеличивает накладные расходы на ваше управление («У меня новый ноутбук, почему я не могу подключиться к беспроводной сети? О, мне нужно добавить MAC, черт!»)
Отключение широковещательной передачи SSID также не очень полезно, поскольку его также легко получить, прослушивая беспроводной трафик. Опять же, это только добавляет немного головной боли, когда вы хотите подключиться к вашей сети («Какой у меня снова был SSID? Ах да, SDFSADF»)
Если вы также можете настроить домашний VPN в своей системе, это добавляет дополнительный уровень безопасности. Я настроил свой домашний беспроводной маршрутизатор на размещение беспроводных пользователей в демилитаризованной зоне (так называемый Интернет), чтобы они не могли получить доступ к моей домашней сети, если не выполнить дальнейший вход в систему через VPN (другое имя пользователя / пароль с таймаутами входа в систему / сбрасывает взломщик, который придется победить). На ближайшее будущее и против неправительственного взломщика это безопасно. : D