Для захисту мереж 802.11 передбачений комплекс заходів безпеки передачі даних.

На ранньому етапі використання Wi-Fi мереж таким був пароль SSID (Server Set ID) для доступу в локальну мережу, але з часом виявилось, що дана технологія не може забезпечити надійний захист.

Головним же захистом довгий час було використання цифрових ключів шифрування потоків даних за допомогою функції Wired Equivalent Privacy (WEP). Самі ключі вдають із себе звичайні паролі з довжиною від 5 до 13 символів ASCII. Дані шифруються ключем з розрядністю від 40 до 104 бітів. Але це не цілий ключ, а тільки його статична складова. Для посилення захисту застосовується так званий вектор ініціалізації Initialization Vector (IV), який призначений для рандомізації додаткової частини ключа, що забезпечує різні варіації шифру для різних пакетів даних. Даний вектор є 24-бітовим. Таким чином, в результаті ми отримуємо загальне шифрування з розрядністю від 64 (40+24) до 128 (104+24) бітів, в результаті при шифруванні ми оперуємо і постійними, і випадково підібраними символами.

Як показав час, WEP теж виявилася не найнадійнішою технологією захисту. IEEE 802.1X — це новий стандарт, який виявився ключовим для розвитку індустрії бездротових мереж в цілому. За основу узято виправлення недоліків технологій безпеки, вживаних в 802.11, зокрема, можливість злому WEP, залежність від технологій виробника і тому подібне. Стандарт IEEE 802.1X використовує варіант динамічних 128-розрядних ключів шифрування, тобто ключі, які періодично змінюються в часі. Таким чином, користувачі мережі працюють сеансами, після закінчення яких їм присилається новий ключ. Всі ключі є 128-розрядними за замовчанням.

В кінці 2003 року був упроваджений стандарт Wi-Fi Protected Access (WPA), який суміщає переваги динамічного оновлення ключів IEEE 802.1X з кодуванням протоколу інтеграції тимчасового ключа TKIP, протоколом розширеної аутентифікації (EAP) і технологією перевірки цілісності повідомлень MIC. WPA — це тимчасовий стандарт, про який домовилися виробники устаткування, поки не набув чинності IEEE 802.11i. По суті, WPA = 802.1X + EAP + TKIP + MIC, де:

WPA — технологія захищеного доступу до бездротових мереж

EAP — протокол розширеної аутентифікації (Extensible Authentication Protocol)

TKIP — протокол інтеграції тимчасового ключа (Temporal Key Integrity Protocol)

MIC — технологія перевірки цілісності повідомлень (Message Integrity Check).

Стандарт TKIP використовує автоматично підібрані 128-бітові ключі, які створюються непередбачуваним способом і загальне число варіацій яких досягає 500 мільярдів. Складна ієрархічна система алгоритму підбору ключів і динамічна їх заміна через кожних 10 кбайт (10 тис. переданих пакетів) роблять систему максимально захищеною.

Від зовнішнього проникнення і зміни інформації також обороняє технологія перевірки цілісності повідомлень (Message Integrity Check). Достатньо складний математичний алгоритм дозволяє звіряти відправлені в одній точці і отримані в іншій дані. Якщо відмічені зміни і результат порівняння не сходиться, такі дані вважаються помилковими і викидаються.

Таким чином, на сьогоднішній день у звичайних користувачів і адміністраторів мереж є всі необхідні засоби для надійного захисту Wi-Fi, і за відсутності явних помилок завжди можна забезпечити рівень безпеки, відповідний цінності інформації, що знаходиться в такій мережі.

Сьогодні бездротову мережу вважають захищеною, якщо в ній функціонують три основних складових системи безпеки: аутентифікація користувача, конфіденційність і цілісність передачі даних. Для отримання достатнього рівня безпеки необхідно скористатися рядом правил при організації і настройці приватної Wi-Fi-мережі:

1) шифрувати дані шляхом використання різних систем. Максимальний рівень безпеки забезпечить застосування VPN;

2) використовувати протокол 802.1X;

3) заборонити доступ до налаштувань точки доступу за допомогою бездротового підключення;

4) управляти доступом клієнтів по MAC-адресам;

5) заборонити трансляцію в ефір ідентифікатора SSID;

6) розташовувати антени якнайдалі від вікон, зовнішніх стін будівлі, а також обмежувати потужність радіовипромінювання;

7) використовувати максимально довгі ключі;

8) змінювати статичні ключі і паролі;

9) використовувати метод WEP-аутентификации "Shared Key" оскільки клієнтові для входу в мережу необхідно буде знати WEP-ключ;

10) користуватися складним паролем для доступу до налаштувань точки доступу;

11) по можливості не використовувати в бездротових мережах протокол TCP/IP для організації папок, файлів і принтерів загального доступу. Організація ресурсів, що розділяються засобами NETBEUI, в даному випадку безпечніша;

12) не вирішувати гостьовий доступ до ресурсів загального доступу, використовувати довгі складні паролі;

13) не використовувати в бездротовій мережі DHCP. Вручну розподілити статичні IP-адреса між легітимними клієнтами безпечніше;

Так само загрозу мережевій безпеці можуть представляти природні явища і технічні пристрої, проте тільки люди (незадоволені звільнені службовці, хакери, конкуренти) проникають в мережу для навмисного отримання або знищення інформації і саме вони представляють найбільшу загрозу.