Como uma rede sem fio é muito mais fácil de interceptar e comprometer do que uma rede com fio, os vários padrões incluem métodos de autenticação e criptografia. Na versão original do padrão IEEE 802.11, esses métodos são descritos sob o termo WEP (Wired Equivalent Privacy - privacidade equivalente à das redes com fio). Porém, como o WEP se demonstrou inseguro (consulte a Seção 17.7.2, “Segurança”), o setor de WLAN (unificado sob o nome Wi-Fi Alliance) definiu uma extensão denominada WPA, que supostamente elimina os pontos fracos do WEP. O padrão IEEE 802.11i posterior (também conhecido como WPA2, porque o WPA é baseado em uma versão preliminar do 802.11i) inclui o WPA e alguns outros métodos de autenticação e criptografia.
Para garantir que apenas as estações autorizadas possam se conectar, vários mecanismos de autenticação são usados em redes gerenciadas:
Um sistema aberto é um sistema que não precisa de autenticação. Qualquer estação pode se juntar à rede. Contudo, a criptografia WEP (consulte a Seção 17.4, “Criptografia”) pode ser usada.
Nesse procedimento, a chave WEP é usada para autenticação. Porém, esse procedimento não é recomendado, porque torna a chave WEP mais suscetível a ataques. Tudo o que um invasor precisa fazer é escutar durante tempo suficiente a comunicação entre a estação e o ponto de acesso. Durante o processo de autenticação, ambos os lados trocam as mesmas informações, uma vez de forma criptografada e outra de forma não criptografada. Isso possibilita a reconstrução da chave com as ferramentas adequadas. Como esse método utiliza a chave WEP para a autenticação e para a criptografia, ele não melhora a segurança da rede. Uma estação com a chave WEP correta pode ser autenticada, criptografada e descriptografada. Uma estação que não tem a chave não pode descriptografar os pacotes recebidos. Da mesma maneira, ela não pode se comunicar, mesmo que tenha que se autenticar.
O WPA-PSK (PSK corresponde a preshared key - chave pré-compartilhada) funciona de maneira semelhante ao procedimento Chave compartilhada. Todas as estações participantes, assim como o ponto de acesso, precisam da mesma chave. A chave tem 256 bits de tamanho e normalmente é digitada como uma frase secreta. Esse sistema não precisa de um gerenciamento de chave complexo como o WPA-EAP e é mais adequado para uso privado. Portanto, o WPA-PSK é às vezes conhecido como WPA “Home”.
Na verdade, o WPA-EAP (Extensible Authentication Protocol) não é um sistema de autenticação, e sim um protocolo para transporte de informações de autenticação. O WPA-EAP é usado para proteger redes sem fio em empresas. Em redes privadas, ele é raramente usado. Por esse motivo, o WPA-EAP é às vezes conhecido como WPA “Enterprise”.
O WPA-EAP precisa de um servidor Radius para autenticar os usuários. O EAP oferece três métodos diferentes para se conectar e autenticar no servidor: TLS (Transport Layer Security), TTLS (Tunneled Transport Layer Security) e PEAP (Protected Extensible Authentication Protocol). Em resumo, essas opções funcionam da seguinte maneira:
A autenticação TLS utiliza a troca mútua de certificados para servidor e cliente. Primeiro, o servidor apresenta o seu certificado para o cliente, onde ele é avaliado. Se o certificado for considerado válido, o cliente, por sua vez, apresenta o seu certificado para o servidor. Embora o TLS seja seguro, ele exige uma infra-estrutura de gerenciamento de certificação que funcione em sua rede. Essa infra-estrutura é raramente encontrada em redes particulares.
Os protocolos TTLS e PEAP são protocolos de dois estágios. No primeiro estágio, uma conexão segura é estabelecida e, no segundo, os dados de autenticação do cliente são trocados. Eles exigem muito menos overhead de gerenciamento de certificação do que o TLS, se houver.