Існує кілька процедур, за допомогою яких ви можете покращити безпеку своєї мережі. Насправді все нижче перераховані пункти необхідні на етапі становлення мережі, але якщо у вас вони не реалізовані, то краще їх зробити - чим швидше тим краще.
Використовуйте довгі WEP ключі, це ускладнить хакеру роботу. Якщо обладнання підтримує 128-бітове шифрування, то звичайно юзайте його. Періодично міняйте ключі. Розміщуйте точки доступу за файрволом, поза локальної мережі. Використовуйте VPN для всіх протоколів, які можуть передавати важливу інформацію. Використовуйте кілька технік для шифрування трафіку, наприклад IPSec. Ймовірно треба буде встановлювати софт на клієнтах, встановити IPSec сервер в локальній мережі, використовувати VLAN між точкою доступу і сервером. У такому варіанті користувачі мережі будуть організовувати IPSec тунель до сервера і передавати через нього всі дані.
Якщо є можливість, то потрібно міняти прошивки на всіх мережевих пристроях. Наприклад, розробники AirSnort (див. Попередню статтю) відзначають, що вже не всі крапки доступу піддаються злому і на них неможливо зламати WEP ключ. Це робота виробників - поновлення постійно покращують свої пристрої і чим швидше ви упровадите ці поліпшення в свою мережу тим краще.
Але це звичайно не панацея. WEP використовує алгоритм RC-4, який за визначенням вразливий через сталості ключа. Єдине, що в протоколі допомагає боротися з цим і змінювати значення ключа - 16-бітове значення IV. Воно кожні 65.536 пакетів змінює своє значення, і з точки зору хакера вже не важливо яка прошивка використовується в мережевому обладнанні - якщо значення повторюється, отже його можна підібрати і проникнути всередину. Апгрейд обладнання не варто ігнорувати, але краще звернути увагу і на самі алгоритми захисту мережі.
WPA-PSK і WPA-Enterprise
Природно, технологія WPA не позбавлена і своїх проблем. Robert Moskowitz з ICSA Labs виявив, що ключова фраза WPA може бути зламана. Це відбувається через те, що хакер може змусити точку доступу регенерувати обмін ключами менш ніж за 60 секунд. І навіть якщо обмін ключами досить безпечний для миттєвого злому, його можна буде зберегти і використовувати для офлайнового перебору. ще одне питання полягає в тому, що EAP передає дані відкритим текстом. Спочатку для шифрування EAP сесій використовувався Transport Layer Security (TLS), але для його роботи на кожному клієнті потрібно сертифікат. TTLS кілька виправив цю проблему, але Microsoft (в Windows XP SP1 є підтримка WPA) і Cisco вирішили питання по своєму і створили Protected EAP, відмінну від TTLS. Зараз дві технології конкурують і ймовірно підтримка таких грандів схилить перемогу до PEAP.
У перспективі нас чекає специфікація 802.11i (профільний комітет Institute of Electrical and Electronic Engineers (IEEE) проголосував за затвердження нового стандарту для локальних бездротових мереж 802.11i буквально минулого місяця), яка є дійсною панацеєю від всіх головних болів з шифруванням. Нова специфікація включає більш ефективний спосіб вилову зловмисників, стійкий TKIP, Advanced Encryption Standard (AES), який підтримує довгі і більш безпечні потоки даних ніж TKIP на самоті (хоча довжина ключа така ж, 128 біт, алгоритм шифрування в багато разів більш стійкий). AES вже зараз широко використовується, зокрема американським урядом.
802.11i крім того підтримує всі 802.1x, а так само EAP, а отже RADIUS-based аутентифікацію, регулярне оновлення ключів у клієнтів, роздачу унікальних ключів кожному індивідуальному клієнту (що ще зменшує ризик атаки, так як один ключ не дасть доступу до всього трафіку інших клієнтів).