Podstawowe metody ograniczania zagrożeń to umieszczenie punktu dostępowego na zewnątrz zapory firewall i stosowanie komunikacji w kanałach VPN. Innego rodzaju metodą ochrony przed dostępem do sieci przez osoby z zewnątrz jest tłumienie sygnałów wychodzących poza obszar budynku firmy poprzez odpowiednie zaplanowanie położenia punktów dostępowych i ewentualną implementację ekranów zapobiegających propagacji sygnałów. Tego typu rozwiązania często są jednak trudne do wykonania.

Blokada wydajności

Jednym z istotnych zagrożeń sieci bezprzewodowych jest względna łatwość zablokowania ich działania atakami typu DoS (Denial od Service - odmowa dostępu).

Maksymalna przepustowość 802.11b (11 Mb/s) lub 802.11a (54 Mb/s) jest dzielona między wszystkich użytkowników sieci. Rzeczywista szybkość transmisji danych jest niższa od nominalnej - w przypadku 802.11b nie przekracza 7 Mb/s, a 802.11a wynosi 12-35 Mb/s. Dlatego też dość łatwo jest zablokować działanie bezprzewodowych stacji dostępowych, generując nawet niedużą, dodatkową transmisję, np. wysyłając serię poleceń z segmentu przewodowej sieci Ethernet. Jeśli do ataku zostanie wykorzystany punkt dostępowy z funkcją ogłaszania (broadcasting), można w ten sposób zablokować działanie wielu bezprzewodowych stacji wykorzystywanych w sieci. Należy zauważyć, że możliwe jest zablokowanie sieci nawet bez podłączenia się do niej. Standard 802.11 pozwala na współdzielenie tych samych kanałów transmisji przez kilka niezależnych sieci bezprzewodowych. W efekcie generowanie przez zewnętrzny system intensywnej transmisji w tym samym kanale radiowym może spowodować praktyczne zablokowanie wymiany danych.

Problemy z przepustowością niekoniecznie muszą być prowokowane przez hakerów. Jeśli uprawnieni użytkownicy zaczną powodować nadmierny ruch, przesyłając duże pliki, to również może nastąpić blokada sieci. Niestety zapobieganie tego typu sytuacjom nie jest proste. Przede wszystkim wymaga implementacji systemu umożliwiającego monitorowanie, analizę i zarządzanie ruchem w sieci bezprzewodowej. Narzędzia do zarządzania są jednak w początkowym stadium rozwoju i ich oferta nie jest bogata.

Obecnie administrator może korzystać ze statystyk tworzonych i przesyłanych za pośrednictwem SNMP przez niektóre modele stacji dostępowych, przenośnych analizatorów (typu handheld) monitorujących sieć, urządzeń do ograniczania ruchu na styku sieci przewodowej i bezprzewodowej (traffic shaper) oraz stacji dostępowych wyższej klasy wyposażonych w funkcje QoS, umożliwiających kontrolę i ograniczanie pasma dostępnego dla poszczególnych użytkowników lub zadań.

Fałszywe stacje dostępowe

Podstawowe standardy 802.11 nie zawierają mechanizmów potwierdzania autentyczności nadawcy ramek. Możliwe jest więc wysyłanie ich ze wskazaniem fałszywego adresu źródła.

Ponadto standard 802.11 nie zawiera mechanizmów identyfikacji stacji dostępowych. Oznacza to, że w sieci można zainstalować fałszywy punkt dostępowy (wystarczy, by ogłosił on odpowiedni identyfikator SSID - Service Set Identifier). W rzeczywistości nie musi to być stacja dostępowa, ponieważ system 802.11 nie sprawdza, "czym jest dane urządzenie". Aby uznać je za punkt dostępowy, wystarczy, że wysyła ono ramki typu beacon. Taki fałszywy punkt może przejąć informacje od komputerów klienckich próbujących się do niego podłączyć.

Wykrywanie nie autoryzowanych stacji dostępowych wymaga stosowania specjalnych narzędzi. Można tu wykorzystać różne rozwiązania. Network Associates Sniffer, choć pracuje w sieciach przewodowych, może z powodzeniem kontrolować adresy IP urządzeń bezprzewodowych. Na rynku dostępne są też analizatory w postaci komputerów naręcznych z interfejsem 802.11b, wyposażone w oprogramowanie do analizy sieci, jak np. Handheld Analyzer firmy AirMagnet (www.airmagnet.com, palmtop Pocket PC z oprogramowaniem umożliwiającym katalogowanie i identyfikowanie urządzeń bezprzewodowych, wyszukiwanie miejsc tłumiących sygnały i wyświetlający informacje o poziomie zabezpieczeń stosowanych w każdym urządzeniu). Cena analizatora wynosi 2500 USD.

System AirDefense (firma AirDefense, www.airdefense.net) do analizy sieci wykorzystuje zestaw rozproszonych detektorów sygnałów, które przesyłają dane do komputera wyposażonego w odpowiednie oprogramowanie. Producent podkreśla, że zaletą rozwiązania jest wyeliminowanie potrzeby wędrowania administratora z analizatorem w obszarze działania dużej sieci. Cena systemu zaczyna się od 9 tys. USD.