Página 41 do material que Sérgio postou tem o método que eu pensei em usar aqui, só não sabia ser possível e prático (ou então tô muito enganado). Seria o uso de pppoe + usuário e senha + certificado para fechar a conexão. Talvez isso com uso de concessão dinâmica de ip numa faixa grande (mascara/16) pelo pppoe-server + radius torne miserável a vida dos invasores.