Phần dưới đây đưa ra vài khuyến cáo trong việc bảo mật mạng WLAN.
1. Thay đổi administration password và cả username nếu AP hỗ trợ và SSID mặc định của AP hoặc wireless router. Nếu không thay đổi mạng của bạn rất có thể bị xâm nhập và sửa đổi. Tránh dùng SSID và password có liên quan đến các thông tin cá nhân,tổ chức của bản thân.
3. Nên dùng chế độ ẩn SSID hoặc ESSID để tránh bị scan bởi các phần mềm thông dụng như Net Stumbler, Air Magnet...
4. Nên tắt AP khi không sử dụng.Trong khoảng thời gian không theo dõi là cơ hội cho các Hacker tấn công và thâm nhập.
5. Sử dụng các công cụ bảo mật của Acess Point như Firewall, NAT...Rất nhiều người khi sử dụng AP thường để chế độ mặc định của nhà sản xuất. Trong chế độ này các phần về bảo mật
thường không được bật.
Tận dụng các công nghệ sẵn có như VPNs, firewall, hệ thống phát hiện xâm nhập, Intrusion Detection System (IDS), các giao thức và các chuẩn như 802.1x và EAP, và chứng thực client với Radius Sever có thể giúp đỡ các giải pháp an toàn nằm ngoài phạm vi mà chuẩn 802.11 yêu cầu, và thừa nhận. Giá và thời gian thực hiện các giải pháp này thay đổi tùy theo quy mô thực hiên.
(RADIUS là chuẩn không chính thức trong hệ thống chứng thực người sử dụng. Các AP gửi những yêu cầu chứng thực người sử dụng đến một RADIUS server, mà có thể hoặc có một cơ sở dữ liệu được gắn sẵn hoặc có thể qua yêu cầu chứng thực để tới một bộ điều khiển vùng, như NDS server, active directory server, hoặc thậm chí là một hệ thống cơ sở dữ liệu tương hợp LDAP).
6. Mã hóa : WEP, WPA/WPA2 là những kiểu mã hóa thông dụng trong các AP, nếu AP chỉ hỗ trợ WEP thì hãy dùng key dài nhất có thể (thường là 128bit), nếu có hỗ trợ WPA thì xài key tối thiểu 128bit or 256bit. Đa phần các AP có support WPA đều dùng kiểu WPA-PSK (pre-shared key hoặc passphare key), WPA2 mã hóa thì an toàn hơn nữa nhưng phải cần thêm 1 server Radius nhằm mục đích xác thực. Nên đặt khóa càng phức tạp càng tốt(bao gồm ký tự hoa thường, số & ký tự đặc biệt kết hợp lại), không nên dùng những từ có nghĩa hay có trong từ điển, vì cracker vẫn dò được mã khóa WPA khi dùng tự điển dò theo kiểu brute force attack.
Chú ý: Nên dùng WPA/WPA2 và sử dụng kiểu mã hóa AES (Advanced Encryption Standard) đây là kiểu mã hoá tiên tiến nhất hiện nay.
7. Lọc địa chỉ MAC : AP đều có tính năng lọc MAC của các client kết nối vào, có 2 cách lọc là chỉ cho phép và chỉ cấm địa chỉ MAC nào đó.
8. Nên chỉ dùng chuẩn 802.11g nếu có thể vì do các phần mềm crack wireless hiện nay rất ít hỗ trợ card wireless chuẩn g
9. Nên thay đổi password định kỳ : đây là phương pháp đơn giản nhưng hữu hiệu để bảo đảm an toàn cho Wlan.
10. Định cỡ cell để giảm bớt cơ hội nghe trộm,kích cỡ cell của AP phải thích hợp với khu vực an toàn. Phần lớn hacker tìm những nơi mà tốn ít thời gian và năng lượng nhất để tìm cách truy cập mạng. Vì lí do này, rất quan trọng khi không cho phép những AP phát ra những tín hiệu ra ngoài khu vực an toàn trừ khi tuyệt đối cần thiết. Vài AP cho phép cấu hình mức công suất đầu ra, do đó có thể điều khiển kích thước Cell RF xung quanh AP.Hoặc sử dụng các vật cản thông thường như
sắt,tường.... Cố gắng đặt AP về phía trung tâm của khu vực sẽ giảm thiểu việc rò tín hiệu ra ngoài phạm vi mong đợi.
11. Nên tắt DHCP của Access Point và thiết lập các dãy IP của Lan ngoài các dãy thông thường như: 192.168.0.X và 192.168.1.X. Dãy IP cho phép thiết lập là 10.0.0.0-
12. Hãy chắc chắn là đã bật chế độ logging (thường được tắt theo mặc định) và thường xuyên kiểm tra log .Log có thể báo cho ta biết các cuộc viếng thăm không mời.
13. Dùng chế độ HTTPs : hoàn toàn có thể điều khiển AP qua các trình duyệt web vốn không được mã hoá hoặc chỉ cho phép cấu hình AP trực tiếp qua line.
14. Bảo mật cho mạng nội bộ:Mã hóa file khi truyền,sử dụng các chế độ bảo mật của HĐH...
15. Nên chia thành 2 mạng riêng biệt WirelessLAN và WiredLAN bằng các dãy IP khác nhau để tránh xâm nhập
16. Switches không Hubs : Một nguyên tắc đơn giản khác là luôn kết nối các AP tới switch thay vì hub, hub là thiết bị có tính chất broadcast, do đó dễ bị mất password và IP address.
17. Wireless DMZ : ý tưởng khác trong việc thực hiện bảo mật cho những segment không dây là thiết lập một vùng riêng cho mạng không dây, Wireless DeMilitarized Zone (WDMZ). Tạo vùng WDMZ sử dụng firewalls hoặc router thì có thể rất tốn kém, phụ thuộc vào quy mô, mức độ thực hiện. WDMZ nói chung được thực hiện với những môi trường WLAN rộng lớn. Bởi các AP về cơ bản là các thiết bị không bảo đảm và không an toàn, nên cần phải tách ra khỏi các đoạn mạng khác
Các biện pháp bảo mật cho người dùng mạng không dây(end-user)
• Tắt chế độ ad hoc.
• Mã hoá frame không dây .
• Bảo mật Data : mã hóa file (dùng file rar có đặt password khi cần gửi file quan trọng, sử dụng các chế độ bảo mật của HĐH...
• Dùng các phần mềm firewall.
Những biện pháp an toàn dùng cho ứng dụng
Có hai loại ứng dụng được hỗ trợ ở lớp truy cập: ứng dụng cho nhân viên và ứng dụng cho khách. - Muốn sử dụng các ứng dụng của nhân viên phải qua các bước kiểm tra an toàn ở những lớp dưới thông qua các kỹ thuật xác thực ở phần "Các dịch vụ bảo mật dùng chung".
- Máy chủ và các ứng dụng cũng phải trang bị các biện pháp kiểm soát truy nhập, phân quyền trên các dịch vụ dành cho nhân viên.
- Khách sử dụng phải được chặn lại và sử dụng các tài nguyên ở khu vực dành cho khách để xác thực trước khi cho truy nhập vào các tài nguyên khác.