Langattomissa verkoissa on pakko käyttää aina jonkinlaista käyttäjien tunnistusta ja salausta, jos ei haluta että kuka tahansa kuuluvuusalueella pääsee käyttämään verkkoa, tai kuuntelemaan verkkoliikennettä.
Alimmalla suojaustasolla sallitaan kaikkien pääsy verkkoon ilman minkäänlaista tunnistusta. Tällainen avoimuus voisi tulla kyseeseen lentokentillä tai muissa sellaisissa tiloissa, joissa halutaan mahdollisimman helposti tarjota langattomia verkkoyhteyksiä vaihtelevalle ihmisjoukolle. Tällöin tarvittavat verkon suojaukset ja käyttöoikeuksien hallinta pitää tehdä jossakin muualla kuin langattoman verkon laitteissa.
Seuraavalla suojaustasolla käyttäjien tunnistus tehdään verkkokortin MAC-osoitteen perusteella, mutta minkäänlaista salausta siirtotiellä ei käytetä. Käyttäjälista ylläpidetään tukiasemassa tai RADIUS-palvelimessa. Tällaista järjestelyä voidaan käyttää, jos tarvittava tiedon salaus suoritetaan jotenkin muuten, kuten esimerkiksi VPN:llä. Koska salausta ei ole käytössä, voidaan liikennettä kuunnella suoraan. Verkkokorttien MAC-osoite on vaihdettavissa sopivalla ohjelmalla, jolloin verkosta käytössä olevan osoitteen sieppaamalla voi ulkopuolinen käyttäjä päästä liittymään verkkoon käyttämällä hyväkseen sieppaamaansa MAC-osoitetta.
WEP-salausta voidaan käyttää laitteissa kahdella tai kolmella eri tavalla. IEEE802.11-yhteensopiva tapa on 40-bittisten jaettujen avainten käyttö. Tukiasemiin voi yhtäaikaa olla määriteltyinä neljä WEP-avainta, joista yksi on aktiivinen. WLAN-korteissa voi myös olla määriteltynä neljä WEP-avainta, joista käytetään sitä, jolla lähetys sattuu onnistumaan. WEP-salausta voidaan käyttää yhdessä MAC-tunnistuksen kanssa. Ainoastaan asiakkaat, joilla on määriteltynä oikea WEP-avain, voivat liittyä verkkoon. Jos tukiasema on tilassa, jossa tukiasemaan voi liittyä ilman oikeaa avainta, on Wavelanin tukiasemasta mahdollista päästä lähettämään verkkoon liikennettä väärällä avaimellakin. Toiseen suuntaan tukiasema ei päästä liikennettä lävitseen väärällä avaimella. Nokian ja Ciscon tukiasemiin voi liittyä tässä tilassa väärällä avaimella, mutta mitään niiden kautta ei tällöin pääse verkkoon lähettämään. Jaettu avain voi olla myös 56 - 128-bittinen, mutta tällöin kaikkien verkossa olevien laitteiden tulee olla yleensä saman valmistajan valmistamia. Nokian laitteilla on mahdollista käyttää WEP-avaimia asiakaskohtaisesti. Tällöin jokaisella asiakkaalla on oma 40 - 128-bittinen avain. Avain on yhdistetty joko käyttäjätunnukseen tai verkkokortin MAC-osoitteeseen. WEP-avaimet voidaan tallentaa joko tukiasemaan tai ulkoiseen RADIUS-palvelimeen. Nokian tukiasemaan voidaan tallentaa enintään 200 langattoman aseman MAC-tunnistetiedot ja henkilökohtaiset avaimet, Wavelanin tukiasemiin 433 aseman MAC-tunnistetiedot ja Ciscon tukiasemiin noin 65 000 aseman MAC-tunnistetiedot. Jos tunnistetiedot ovat tukiasemissa, pitää ne päivittää kerralla kaikkiin tukiasemiin erikseen. Tämä sujuu vielä parin tukiaseman verkossa helposti, mutta suuremmissa verkoissa ylläpitoa voidaan helpottaa käyttämällä RADIUS-palvelinta, jossa tunniste-tiedot ovat. RADIUS-palvelinta käytettäessä tunnistetiedot tallennetaan vain palve-limeen, josta tukiasemat ne käyvät tarkistamassa. Ciscolla on tämän hetken ainoana valmistajana mahdollisuus käyttää dynaamisia jokaisella yhteyskerralla,tai jopa yhden yhdeyskerran aikana vaihtuvia salausavaimia.
Nokian tukiasemille henkilökohtaisia WEP-avaimia voidaan luoda tukiaseman mukana toimitettavalla WEPGen-ohjelmalla. WEPGen-ohjelman käyttöliittymä on kuvassa 23. Avaimet voidaan yhdistää joko MAC-osoitteeseen tai käyttäjätunnukseen. Avaimet voidaan tallentaa joko tukiasemaan, tekstitiedostoon tai Nokian omaan tiedosto-muotoon. Tekstitiedostoksi tallennettu avainlista voidaan siirtää tukiasemaan WEPGenin lisäksi myös erillisellä TFTP-ohjelmalla. Nokian muotoon tallennettu tiedosto voidaan avata WLAN-ajuriohjelmassa. WEPGen-ohjelmassa on myös vaihto-ehto RADIUS-palvelimelle tallentamiseen, mutta keinoa tallennuksen mahdollista-miseen ei löytynyt. Ohjelmaan voidaan ladata aiemmin tehdyt avaimet joko teksti-tiedostosta tai tukiasemasta. Tietojen avaamiseen tarvitaan salasana, jota käytetään suojaamaan avainten suoraa näkymistä. Tämä salasana on tukiasemassa shared secret . Siirto tukiasemaan tapahtuu TFTP:llä. Henkilökohtaiset avaimet voidaan syöttää tukiasemaan myös käyttäen komentorivikäyttöliittymää, mutta web-käyttöliittymästä tätä ei voida tehdä. Jaetut avaimet taas voidaan syöttää joko komentoriviltä tai web-käyttöliittymän kautta mutta ei WEPGen-ohjelmalla. Vaikka käytössä olisi 128-bittiset henkilökohtaiset avaimet, lähetetään kaikki levitysviestit (broadcast) salaamattomina, jos määriteltynä ei ole yhtään jaettua avainta.
Jos Nokian tukiasemaan on määriteltynä jollekin MAC-osoitteelle WEP-avain, tulee tätä avainta käyttää aina. Vaikka tukiasema olisi tilassa jossa se hyväksyy kaiken liikenteen ilman tunnistusta, tulee sillä langattomalla asemalla, jolle tukiasemassa on asemakohtainen avain, olla käytössä oikea WEP-avain, tai yhteyttä ei saada muodostettua. Jaettua WEP-avainta ei yritetäkään käyttää avoimessa tilassa, vaikka se tukiasemaan olisi määritetty. Nokian WLAN-kortti liittyy avoimessa tilassa olevaan Nokian tukiasemaan, vaikka kortiin olisi asetettu käyttöön WEP-avain. Tämä käyttäytyminen mahdollistaa langattoman aseman liikenteen kaappaamisen avoimella tukiasemalla. Muiden valmistajien korttien ajureissa voidaan kieltää liittyminen avoimiin verkkoihin.
Kuvassa 23 on Nokian WEP Generator -ohjelma. Ohjelma arpoo satunnaisia avaimia Auto-Generate -nappia painettaessa, tai avaimen voi syöttää itse WEP Key -kenttään. Jos avain alkaa merkeillä 0x, on avain heksadesimaalisena; muuten avain syötetään tekstinä. Jos Bridge Entry on valittuna, muodostuu avaimesta siltausavain. Siltauksen toimintaa avainten kanssa ei ole ohjeissa selitetty eikä siltausta saatu toimimaan. Ohjelma kyllä opastaa alarivillään käyttäjää aina seuraavaan kohtaan, mutta esimerkiksi "Hint. You're ready to go!" ei kerro yhtään, mitä nyt olen valmis tekemään. Varsinkin yhden avaimen tallentaminen levyyn oli hankalaa. Avainriviä pitää napsauttaa Name-kentän kohdalta saadakseen avaimen tallennuksen mahdolliseksi. Muussa kohtaa avainkenttää napsautettaessa ei tapahdu mitään.
Kuvassa 24 on Nokian tukiaseman avaintenhallintasivu. Sivulla asetetaan käytettävä avaintyyppi, jaetut avaimet sekä avaintietokantojen sijainti. Jos RADIUS-palvelinta ei käytetä, voidaan kohdat Dummy Password sekä IP-osoitteet jättää oletuksiinsa. Jos RADIUS-palvelinta käytetään, tulee IP-osoitekenttään sen osoite. Dummy Password -kenttä kertoo, mikä salasana RADIUS-palvelimeen tallennetaan jokaiselle käyttäjälle. Nokia käyttää epästandardia RADIUS-käyttötapaa ja tallentaa WEP-avaimen ylimääräisenä tekstinä eikä salasanana. Salasana salataan Shared Secret -kentässä olevalla salasanalla, joten salaamattomina salasanat eivät verkossa liiku, vaikka niitä ei RADIUS-palvelimen näkökulmasta salasanoina käsitelläkään. Jos syötetty WEP-avain ei ole kelvollinen, näkyvät sen kohdalla olevat tähdet punaisina ja avain jätetään kokonaan huomiotta. Kelvollisen avaimen tapauksessa tähdet ovat vihreitä. Tässä kohdassa on suuri mahdollisuus tehdä virhe ja luulla, että yhteys olisi salattu, kun avain on syötetty ja se on tukiasemaan tallennettu. Esimerkiksi Netscape 4 -sarjan selaimet eivät tue lomakkeen kenttien tekstin värin muuttamista, joten tähdet ovat siinä aina mustia. Jos sivulla olisi myös selväkielinen ilmoitus siitä, että tätä avainta ei käytetä, olisi tilanne paljon parempi.
2.2.4 Cisco - laitteet | Sisällysluettelo | Tukiasemien ylläpito