Znacznie większe możliwości dają systemy aktywnej ochrony sieci WLAN. Wśród nich prym wiodą IPS-y rozumiejące standardy serii 802.11 - WIPS (Wireless IPS). Spośród największych producentów systemów tego typu możemy wyróżnić: AirMagnet/Fluke (przede wszystkim narzędzie AirMagnet Enterpise), AirTight (SpectraGuard), Aruba (Wireless Intrusion Protection), Cisco (Adaptive Wireless IPS), Motorola (AirDefense). Architektura WIPS zbliżona jest do architektury "normalnego" IPS-a. Mamy więc komponent zarządczy spięty z bazą danych, zestaw czujek, ewentualnie dodatkowe oprogramowanie diagnostyczne lub agenta przeznaczonego do zainstalowania na stacji. Instalacja tego ostatniego pomaga kontrolować np. tworzenie połączeń Ad Hoc czy blokować możliwość nawiązania połączenia z nieuwierzytelnionymi AP. Niektóre czujki pozwalają na zapis całości ruchu (np. typowy sniffer), inne prowadzą jedynie obserwację pod kątem obecności punktów dostępowych, identyfikacji ich tożsamości, powiązań pomiędzy AP i klientami. Po zebraniu danych przekazują je do systemu zarządczego, który przeprowadza dalszą korelację danych.

Jeżeli chodzi o czujki, producenci stosują tutaj różne podejścia. Niektórzy (np. AirMagnet) wymagają instalacji dedykowanych sensorów, których jedyną funkcją jest monitoring. Jest to korzystne z funkcjonalnego punktu widzenia, ale doskwiera finansowo. Doskonale sprawdzi się w środowisku heterogenicznym. Inni (np. Motorola) zakładają możliwość wykorzystania istniejącej już infrastruktury AP (pod warunkiem, że pochodzi od tego samego co WIPS producenta) i aktywowania na nich modułu czujki. Takie rozwiązanie dostępne jest w wielu punktach dostępowych z nieco wyższej półki. W tym przypadku zaprojektowanie rozmieszczenia sensorów będzie łatwiejsze, a implementacja tańsza, choć niekiedy związana z rezygnacją z pewnych funkcji bezpieczeństwa dostępnych w dedykowanych rozwiązaniach. Podczas wdrażania systemu WIPS należy upewnić się, że czujki w całości pokrywają obszar firmy. Nie oznacza to, że potrzebna będzie olbrzymia liczba sensorów. Zasięg działania dedykowanych sensorów jest znacznie większy niż standardowych punktów dostępowych. Ponadto większość ma możliwość dostrajania zarówno siły sygnału, jak i jego kierunku.

Wspominaliśmy o korelacji. Według wielu, to właśnie jakość korelacji odróżnia systemy WIPS. Zgadzamy się z tą opinią, ponieważ nic nie denerwuje tak bardzo, jak zalew fałszywych alarmów lub - co gorsza - pomijanie oczywistych nieprawidłowości. Moduł korelacyjny powinien pozwolić na powiązanie informacji z infrastruktury przewodowej z bezprzewodową. Brak takiej korelacji może doprowadzić do sytuacji, w której czujka zauważy punkt dostępowy z sąsiedniej firmy i przeprowadzi na niego atak DoS, pomimo że nie stanowi bezpośredniego zagrożenia. Konieczna jest więc umiejętność odróżniania zarówno AP podłączonych, jak i niepodłączonych do naszej infrastruktury. Ponadto, dobrze przeprowadzona korelacja umożliwi zlokalizowanie miejsca podłączenia punktu dostępowego do sieci przewodowej (najczęściej wg triangulacji oraz wskazania sprzętu sieciowego). WIPS powinien także wskazywać pewne trendy związane z bezpieczeństwem naszej sieci - zwłaszcza jeżeli jest ona rozległa. Może np. pokazać, że w pewnych lokalizacjach zagrożenie jest większe (duża liczba otwartych AP, częste próby skanowania itp.), a przez to ujawnić obszary wymagające szczególnej uwagi.

WIPS to także umiejętność wykrywania innych groźnych sytuacji, a więc - oprócz wspomnianych nieautoryzowanych urządzeń - także tych zabronionych polityką bezpieczeństwa powiązań z obcymi AP, słabo zabezpieczonych punktów dostępowych czy aktywności narzędzi pentesterskich. WIPS powinien więc potrafić wykryć działanie zarówno prostych narzędzi do rekonesansu (np. NetStumbler), jak i tych bardziej zaawansowanych, takich jak: Hotspotter, Airsnarf czy wspomniany Karmetasploit. Nie może też zabraknąć funkcji związanych z wykrywaniem zachowań nietypowych (anomalii), np. wzmożonej aktywności w godzinach nocnych.