W niektórych przypadkach potrzebne są silniejsze zabezpieczenia. W zaawansowanych urządzeniach dostępne są mocniejsze metody szyfrowania i uwierzytelniania, takie jak protokół LEAP (Lightweight Extensible Authentication Protocol) czy PEAP (Protected Extensible Authentication Protocol). Protokół WEP ma następcę - mechanizm WPA (WiFi Protected Access). Szukając protokołu bezpieczniejszego niż WEP, powinniśmy zainteresować się 802.1x, WPA lub LEAP oraz ustanowić politykę bezpieczeństwa, tak aby cały ruch bezprzewodowy wymagał użycia szyfrowania oraz uwierzytelniania.

Bezpieczne sieci WiFi powinny używać protokołu uwierzytelniania użytkowników. Usługa tego typu jest zazwyczaj oparta na serwerze RADIUS. Warto przeprowadzać uwierzytelnienie każdego użytkownika nie tylko jednorazowo, lecz co określony czas, np. 1 godzinę.

SSID (Service Set Identifier) jest łańcuchem identyfikacyjnym używanym przez bezprzewodowe punkty, dzięki któremu klienci mogą zainicjować połączenie. Dla każdego punktu dostępowego warto wybrać unikalny SSID oraz wyłączyć jego rozgłaszanie. Podobnie jest z obsługą protokołu SNMP. Aby uniemożliwić odczyt parametrów poprzez ten protokół, należy zmienić domyślne ustawienia łańcucha community.

Również usługa typu DHCP nie jest bezpieczna i zaleca się jej wyłączenie. Dlaczego? Włamywacz przyłączając się do niezabezpieczonego punktu dostępowego, otrzymuje pełen dostęp do sieci bez zbędnych zabiegów. Warto wdrożyć listy dostępu, jeżeli urządzenie bezprzewodowe na to pozwala. Rozwiązanie to ogranicza przyłączenie do AP tylko do uprawnionych maszyn. W przypadku stref bezpieczeństwa wymagających szczególnej uwagi, trzeba zapewnić usługę VPN w dostępie do krytycznych zasobów oraz ograniczyć dostęp do LAN w zależności od realizowanych zadań.

Podstawą polityki bezpieczeństwa jest konieczność określenia, co należy do dozwolonych działań w sieci bezprzewodowej. Dotyczy to aplikacji uruchamianych przez bezprzewodową sieć LAN oraz miejsc, z których ma być lub nie dostęp do Internetu. Należy także określić możliwości przełączania się stacji pomiędzy punktami dostępowymi (roaming), pomiędzy budynkami, a także możliwości przyłączania w miejscach poza kontrolą organizacji (hot spoty, domy). Organizacje powinny stworzyć mapę punktów dostępowych i określić, w którym przypadku istnieje możliwość roamingu.

Wiele nadużyć w sieciach bezprzewodowych LAN wiąże się z niepoprawną konfiguracją. Jeden niezabezpieczony punkt dostępowy może stanowić otwartą bramę do zasobów całej sieci. Także sieci bezprzewodowe peer-to-peer służące wymianie dokumentów oraz informacji pomiędzy komputerami osobistymi, ze względu na bardzo niski poziom zabezpieczeń, mogą pełnić rolę konia trojańskiego.

Krok 4 - wdrożenie i testy

Podstawową strukturę opartą na projekcie oraz założeniach sieci trzeba po stworzeniu uruchomić. Projekt sieci jest podstawą każdego wdrożenia. W przypadku sieci bezprzewodowej warto zadbać o odpowiednie rozmieszczenie nadajników, pozwalające pokryć zasięgiem możliwie największy teren. Ważnym zagadnieniem jest odpowiedni dobór kanałów częstotliwości. Niezwykle istotną sprawą jest także wybór odpowiedniego sprzętu. Struktura sieci oraz liczba użytych punktów dostępowych wpływa na wydajność całej infrastruktury.

Jeżeli proces projektowania został przeprowadzony prawidłowo, instalacja sieci jest czynnością stosunkowo łatwą do przeprowadzenia. Warto przy tym zwrócić uwagę na takie szczegóły, jak możliwość użycia w niektórych systemach technologii PoE (Power over Ethernet), co w zdecydowany sposób upraszcza czynności instalacyjne.

Instalację każdego punktu dostępowego należy przeprowadzać według następującego schematu:

1. Ustalenie lokalizacji urządzenia;

2. Instalacja okablowania dystrybucyjnego;

3. Konfiguracja oraz instalacja punktu dostępowego;

4. Test instalacji;

5. Dokumentacja.

Po zakończonej instalacji należy przeprowadzić testy przy użyciu analizatora sieci 802.11. Mogą one wykazać konieczność przeniesienia punktów dostępowych w inne miejsca i wprowadzenie zmian do projektu.

Aby zminimalizować ryzyko w przypadku budowy dużej sieci, początkowo należy zbudować tylko jeden lub kilka miejsc dostępu, by przetestować rozwiązanie na ograniczonej liczbie użytkowników. Pozwoli to uniknąć wielu problemów w budowie sieci rozległej, składającej się czasami nawet z setek punktów dostępowych.

Krok 5 - monitorowanie i zarządzanie siecią bezprzewodową

Dobra polityka bezpieczeństwa jest podstawą utrzymania bezpiecznej sieci bezprzewodowej. Jednak gdy się jej nie realizuje, staje się zupełnie bezużyteczna. Dla sprawdzenia odporności na najbardziej powszechne zagrożenia, niezbędny okazuje się audyt. W jaki sposób testować sieć WiFi? Warto wspomnieć o dwóch metodach. Pierwsza oparta jest na tradycyjnych metodach skanerów bezpieczeństwa sieci przewodowych. Drugą z nich jest nowatorska koncepcja skanerów sieci bezprzewodowej.

Istniejące skanery bezpieczeństwa sieci jako narzędzie audytu są już powszechnie znane. Z pewnością pozwolą ocenić zabezpieczenia sieci bezprzewodowej od strony przewodowej sieci lokalnej. W sieciach bezprzewodowych stają się jednak zupełnie bezużyteczne. Podstawowe powody wynikają ze specyfiki sieci radiowych. Oprogramowanie tego typu zazwyczaj nie potrafi analizować bezprzewodowych protokołów szyfrowania, metod uwierzytelniania, czy tak specyficznych parametrów, jak SSID. Niemożliwe także okazuje się sprawdzanie kanałów częstotliwości pracy urządzeń, interferencji i zakłóceń.

Rynek nie znosi próżni. W odpowiedzi na zapotrzebowanie pojawiły się bezprzewodowe sniffery oraz skanery zabezpieczeń. Istotnym zadaniem jest okresowe sprawdzanie słabych punktów. Wymaga to wprawdzie spaceru po okolicy z komputerem przenośnym, ale znakomicie spełnia wyznaczone zadania. Co warto analizować i czego szukać? Istotne jest sprawdzenie niezaszyfrowanego, bądź nieautoryzowanego ruchu, nieautoryzowanych stacji. Warto sprawdzić i odnaleźć wszystkie sieci łączące pracowników w trybie ad-hoc oraz komputery z domyślnymi ustawieniami Windows XP od strony sieci bezprzewodowej. W przypadku badań infrastruktury trzeba wyszukać wszystkie urządzenia z domyślnymi lub niepoprawnymi SSID, urządzenia pracujące na kanałach niewykorzystywanych przez naszą sieć oraz nieznanych dostawców. Koniecznie należy też monitorować ruch poza wyznaczonymi godzinami pracy.