São alguns padrões de segurança básicos em Access Points:

1. DHCP
2. Controle por MAC
3. Broadcast do SSID
4. Autenticação WEP
5. Autenticação WPA

1. É necessário um IP válido para se comunicar a uma rede, com o serviço de DHCP desabilitado o intruso terá maior dificuldade em conseguir esse IP.

Não é uma solução definitiva, pois existem maneiras de descobrir o endereço. Exemplo: Procurando em faixas de endereço pré-definidos, ou com decifragem de pacotes capturados.

2. Muitos fabricantes fornecem a possibilidade de criar listas de controle de acesso através do endereço físico das placas de rede wireless dos clientes, fazendo com que apenas esses dispositivos se conectem.

O que também por si só é apenas mais uma dificuldade que pode ser usada contra algum intruso, pois diversos equipamentos permitem a mudança do endereço físico.

3. SSID é o nome que identifica a rede e pelo qual os clientes se conectam ao Access Point. O SSID se propaga em broadcast, ou seja, pode ser recebido por indefinidos "clientes" e sem criptografia. Deve-se, para aumentar a segurança, desativar o broadcast do SSID.

O que também não é a medida definitiva para impedir um intruso, já que existem programas que encontram e se conectam a um SSID oculto. Por exemplo o netstrumbler.

4. É um método de proteção fraco, pois existem diversos softwares que conseguem quebrar sua criptografia. Criptografa de dados em até 128 bits, sua fraqueza se dá na transmissão dos dados criptografados, a quantidade de combinações variáveis é muito pequena, o que leva a repetição dos valores, tornando mais fácil a quebra da criptografia.

A autenticação é feita através de um desafio, que é gerado aleatoriamente, e criptografado com a chave WEP.

O cliente pede autenticação, o Access Point gera o desafio, criptografa com a chave, e o envia ao cliente, o último, por sua vez, descriptografa o desafio com a mesma chave WEP, e reenvia ao Access Point, que a recebe, confirma, e autentica este cliente.

Combinado com as demais configurações e precauções já apresentadas, o WEP se mostra mais uma dificuldade para que o invasor possa conseguir proveito indevido.

Devido a todas as fraquezas encontradas no WEP, houve a necessidade de um mecanismo mais eficiente para proteção, foi criado então o WPA.

5. TKIP é um protocolo de geração de chaves temporais, com 128 bits, e faz com que cada estação da rede tenha uma chave diferente para se comunicar com o AP, uma vez que a chave é gerada com a combinação do endereço MAC de cada estação, evitando assim a repetição encontrada no WEP.

Passphrase é a senha definida pelo usuário, uma frase comum, utilizada na maioria das vezes. Utilizando o padrão 802.1x, o WPA provê o controle de acesso e autenticação mútua entre clientes e Aps através de um servidor de autenticação, como ex: RADIUS.

O cliente inicia a conexão com o autenticador (AP), este por sua vez, pede a identidade ao cliente, a resposta é repassada diretamente ao servidor de autenticação, então o cliente tem acesso a identidade do servidor, só após a autenticação com o servidor, os dados são transmitidos, tendo o cliente acesso total a rede.

WPA2 utiliza o AES em conjunto com o TKIP, tende a ser a solução em segurança Wi-Fi, mas tem necessidade de co-processadores nos dispositivos para que o AES seja processado, e ainda reduz o desempenho das redes onde é implantado.

AES é um cifrador de blocos, trabalha com criptografia de 256 bits.