Protokół WPA definiuje dwa tryby pracy:

• Personal - przeznaczony dla użytkowników domowych oraz małych firm, którym zależy na podniesieniu poziomu bezpieczeństwa bez ponoszenia dodatkowych kosztów na rozbudowę infrastruktury sieciowej (nie wymaga dodatkowych urządzeń zewnętrznych), często spotykany pod nazwą WPA-PSK (WPA Pre-Shared Key);
• Enterprise - przeznaczony dla użytkowników biznesowych, którym zależy na wysokim poziomie bezpieczeństwa i w związku z tym są w stanie ponieść dodatkowe koszty, tryb ten wymaga zewnętrznego serwera zdalnego uwierzytelniania użytkowników RADIUS (Remote Authentication Dial In User Service), często spotykany pod nazwą WPA-EAP (WPA Extensible Authentication Protocol).

Istotę protokołu WPA stanowią jego cztery składniki:

• 802.1x - protokół uwierzytelniania; zaimplementowany w trybie WPA Enterprise;
• EAP - rozszerzony protokół uwierzytelniania,zaimplementowany w trybie WPA Enterprise;
• TKIP - protokół zarządzania kluczami;
• MIC - protokół kontroli integralności danych.

W trybie "Personal" bezpieczeństwo jest oparte na współdzielonym kluczu PSK (8-63 znaków ASCII), który jest jednym z wielu składników protokołu TKIP (Temporal Key Integrity Protocol), generującego cały zbiór kluczy z ograniczonym czasem ważności. Klucze te wykorzystywane są w procesie uwierzytelniania użytkowników oraz szyfrowania danych. Za kontrolę integralności danych odpowiada protokół MIC (Message Integrity Code), który wykorzystuje zaawansowaną matematycznie funkcję Micheala do kontroli integralności danych. O ile protokół TKIP wyeliminował klucze WEP, o tyle protokół MIC stosowany jest obok sumy kontrolnej CRC-32, znacznie podnosząc wiarygodność kontroli.

Konfiguracja protokołu WPA w trybie Personal (WPA-PSK) polega na zdefiniowaniu współdzielonego klucza, składającego się z 8-63 znaków ASCII. Nie trzeba chyba nikogo przekonywać, że im dłuższy klucz, tym lepiej - zabezpieczenie staje się wówczas bardziej odporne na ataki siłowe.

Tryb Enterprise przeznaczony jest dla klientów biznesowych, którzy dla zapewnienia bezpieczeństwa infrastruktury sieciowej oraz danych są w stanie ponieść dodatkowe koszty w postaci serwera RADIUS. Serwer ten obsługuje zaawansowane protokoły uwierzytelniania 802.1x oraz EAP, a także zapewnia zarządzanie kluczami i kontrolę integralności danych.

Protokół WPA zapewnia znacznie wyższy poziom bezpieczeństwa niż WEP, jednak wciąż korzysta z prostego algorytmu RC4. Sytuacja ta ulegała zmianie wraz z opracowaniem standardu 802.11i (WPA2), który opierając się na rozwiązaniach zdefiniowanych w WPA, oferuje znacznie wyższy poziom bezpieczeństwa dzięki implementacji algorytmu AES (Advanced Encrytion Standard) oraz protokołu licznikowego CCMP (Counter mode Cipher block chaining - Message authentication code Protocol), który odpowiada za dynamiczne zarządzanie kluczami szyfrującymi oraz kontrolę integralności danych. Od strony konfiguracyjnej nie ma żadnej różnicy między protokołem WPA2 a WPA. Oznacza to konieczność zdefiniowania współdzielonego klucza w trybie PSK lub podanie adresu, portu oraz hasła dostępowego do serwera RADIUS w trybie EAP.

Należy pamiętać, że specyfikacja WPA2 opublikowana została w 2004 r., czyli rok po ratyfikacji standardu 802.11g, z tego względu nie wszystkie urządzenia zgodne z tym standardem oferują obsługę tego protokołu.

Nie tylko protokoły

Protokoły bezpieczeństwa sieci bezprzewodowej obsługują proces uwierzytelniania i szyfrowania danych, jednak należy pamiętać, że obok nich istnieje jeszcze kilka opcji mających wpływ na bezpieczeństwo sieci, zwłaszcza jej infrastruktury.

Podstawowym hasłem, które należy bezwzględnie zmienić w trakcie pierwszego uruchamiania punktu dostępowego, jest hasło administratora. Pozwoli to na uniknięcie przykrej w konsekwencjach sytuacji, gdy intruz drogą radiową przejmuje kontrolę nad urządzeniem, zmienia domyślne hasło administratora i pozbawia nas dostępu do sprzętu. W takiej sytuacji jedynym ratunkiem jest twardy reset urządzenia, co w przypadku zastosowań domowych nie generuje strat, jednak nie trudno sobie wyobrazić ich koszt w przypadku zastosowań biznesowych.

Dotychczas przedstawione mechanizmy bezpieczeństwa wymagają zdefiniowania hasła (klucza). Sztuka tworzenia haseł nie polega na ich wymyślaniu, lecz na opracowaniu krótkiego algorytmu, na podstawie którego można szybko wygenerować hasło. Doskonałym przykładem może być poniższy algorytm składający się z 3 kroków.

Obok mechanizmów bezpieczeństwa wymagających haseł są dostępne filtry umożliwiające selekcję użytkowników sieci bezprzewodowej. Selekcja może być przeprowadzona na podstawie adresu MAC (Media Access Control) karty sieciowej klienta. Lista może zawierać adresy urządzeń dopuszczonych do sieci (allow) lub niedopuszczonych (deny) i nosi nazwę listy ACL (Access Control List). Należy pamiętać, że popełnienie błędu podczas definiowania zasad filtracji może być tragiczne w skutkach - pozbawienie dostępu do sieci licznych klientów. Oczywiście zawsze można wykonać twardy reset urządzenia, jednak wiąże się to z utratą całej konfiguracji punktu dostępowego.

Doskonałym uzupełnieniem zabezpieczeń sieci Wi-Fi są wirtualne sieci prywatne VPN (Virtual Personal Network), wykorzystujące własne protokoły szyfrowania danych, np. IPsec lub PPTP (Point to Point Tunneling Protocol).

Coraz lepsze zabezpieczenia stosowane w sieciach Wi-Fi sprawiają, że sfrustrowani intruzi niebędący w stanie ich pokonać w akcie rozpaczy zagłuszają całe pasmo częstotliwości radiowych, co w pewnych sytuacjach może mieć poważne konsekwencje. Z tego powodu coraz częściej stosowane są ekrany elektromagnetyczne obszarów objętych zasięgiem sieci. Wykorzystuje się w tym celu farby o właściwościach ekranujących, które z jednej strony nie przepuszczają zewnętrznego pola elektromagnetycznego do obszaru pracy sieci bezprzewodowej, a z drugiej strony uniemożliwiają podsłuchiwanie sieci Wi-Fi.