• مقاومت در برابر خطاهای ناخواسته

شبکه وایرلس نباید دردسرهای احتمالی برای بخش‌های دیگر شبکه به همراه داشته باشد. بهترین راه برای محافظت از دستگاه‌های شبکه استفاده از سطوح مختلف دسترسی به دستگاه‌ها است. در این راستا از پروتکل‌های مختلف احراز هویت استفاده می‌شود که در هر نوع احراز هویت می‌بایست کاربران توسط پایگاه داده ذخیره‌شده و در صورت نیاز بتوان در سیستم های دیگر نیز از آن‌ها استفاده نمود.

• مقاومت در برابر طراحی‌های نادرست

هر دستگاه که به درستی کانفیگ یا پیکربندی نشده باشد، می‌تواند هر چیزی در یک شبکه باشد. همچون یک PLC، یک درایو، یک اکسس پوینت، یا یک رایانه. امکان پیکربندی مجدد دستگاه و یافتن خطاها وجود دارد. مانند اشتباهاتی که در نسخه قدیمی تنظیمات آپلود شده با آدرس آی پی نادرست یا تغییرات غیرعمد اعمالی به تنظیمات امنیتی یا روتینگ ترافیک. یک دستگاه شاید به یک ویروس آلوده شده باشد و به‌جای این که به دستگاه بعدی متصل شود، درتلاش است تا به اینترنت متصل شود. در چنین سناریوهایی، نیاز به پیشگیری از دستگاه‌های مهاجم یا کاربرانی که روی شبکه تأثیر می‌گذارند احساس می‌شود. بهترین راه‌حل پیاده‌سازی لایه ۲ یا لایه ۳ دیوارهای آتشین که در اکسس پوینت تعبیه شده‌اند می‌باشد. این طراحی برای محدود ساختن ترافیک شبکه به نوع‌های مختلف ترافیک مورد انتظار و پذیرش آن‌ها می‌باشد.

• محافظت از کاربران

باید امکان محافظت از کاربران یا دستگاه‌هایی که نباید روی شبکه یا حتی بخشی از آن وجود داشته باشند، فراهم گردد. بنابراین نیاز به رمزنگاری یا اینکریپشن هست.  به‌منظور پیشگیری از تصحیح، فعال‌سازی IP Spoofing Protection را باید مدنظر داشت. نهایتاً، استفاده از قابلیت 802.11W، درنظر گرفته شود. به‌طور کلی نیاز به تست نفوذ با انواع روش‌های نفوذ به سیستم و تهیه گزارش‌های مربوط به آن می باشد.

• جداسازی ترافیک

جداسازی ترافیک وایرلس از دیگر ترافیک‌های شبکه باید با استفاده از یک کنترل کننده WLAN انجام پذیرد. فعال کردن قابلیت کنترل و نظارت بر نقاط دسترسی وایرلس (CAPWAP) را درنظر داشته و در حالت ثانویه، نیاز به استفاده از یک شبکه خصوصی مجازی (VPN) برای رمزگذاری روی داده‌های بین اکسس پوینت و مرکز مورد نظر کاربر می‌باشد. همچنین می‌بایست جداسازی Broadcast Domainها در سطح لایه 2 نیز انجام پذیرد. همچنین قابلیت های QOS و CoS نیز در Uplinkها و هم در Vlanها فعال گردد.

•  نفوذ در شبکه

فارغ از این که کسی یا چیزی عمداً به‌دنبال اختلال در شبکه است یا صرفاً چیزی منتهی به مداخله شده است یا خیر، مدیران شبکه باید از آن مطلع باشند. هنگام راه‌اندازی یک زیرساخت یا پل WLAN، می‌بایست از یک سیستم تشخیص نفوذ وایرلس (WIDS) استفاده نمود. در WIDS، به عنوان نمونه، تله‌های پروتکل مدیریت شبکه ساده (SNMP) را برای ارسال اطلاعیه‌ها هنگامی که نقاط دسترسی دور شده و نقاط دسترسی مهاجم شناسایی می‌شوند، می‌بایست راه‌اندازی شود. هنگامی که چیزی شناسایی شد – به عنوان نمونه، یک اتصال وایرلس به دوربینی که دیگر متصل نیست – می‌بایست به مدیر اطلاع‌رسانی شود. همچنین باید یک WIDS به صورت خودکار نقاط حمله DoS را شناسایی کرده و به کارکنان مربوط با هشدارهای SNMP، پیام‌های لاگ و ایمیل اطلاع‌رسانی نماید.

• پشتیبانی از دستگاههای قدیمی

بسیاری از شرکت‌ها نوعی دستگاه قدیمی خواهند داشت. بروزرسانی همه‌چیز در هرزمان واقع‌بینانه نیست. از این رو می‌بایست از این دستگاه‌ها یادداشت برداری کرده و جهت جلوگیری از ضعف‌های این گونه سیستم‌ها هر گونه شکاف ایمنی را با دیوارهای آتشین لایه ۲ و لایه ۳ به ازای هر دستگاه در یک تشخیص‌دهنده سرویس WLAN مجزا (SSID)، مدنظر داشت.

• کنترل پوشش سیگنالینگ

همواره می‌بایست توان مخابره فرکانس رادیو (RF) در این دستگاه را تحت کنترل داشت و از ورود سیگنال به بخش‌هایی که مورد تأیید نمی‌باشد، جلوگیری نمود. در شبکه‌های بزرگ، امکان محدود ساختن RF به نواحی ضروری با استفاده از محافظ RF روی پنجره‌ها یا دیوارها وجود دارد. همچنین اگر RF به نواحی دیگری سرایت پیدا  نماید، باید از دسترسی مجاز کاربران به هر اکسس پوینت اطمینان حاصل نمود. همچنین می‌بایست دسترسی فیزیکی به‌تمامی تجهیزات شبکه حتی‌المقدور محدود گردد.