Els punt d'accés wifi, disposen gairebé tots ells de sistemes per "tancar-los" de manera que només admetin connexions des de clients que coneguin les claus que haguem escollit. Això permet alhora que amb aquestes claus, apart de restringir-ne l'accés a qui les conegui, encriptar les comunicacions que es produeixen entre el els clients i un punt d'accés.

Els punt d'accés wifi, disposen gairebé tots ells de sistemes per "tancar-los" de manera que només admetin connexions des de clients que coneguin les claus que haguem escollit. Això permet alhora que amb aquestes claus, apart de restringir-ne l'accés a qui les conegui, encriptar les comunicacions que es produeixen entre el els clients i un punt d'accés.

Com que les dades en el cas del wifi es transmeten via ràdio, es parla molt de la seva vulnerabilitat donat que qualsevol persona dins el radi de cobertura pot pressumptament captar els paquets de dades que es transmeten i intentar desxifrar-los, ni que sigui per força bruta. Això vol dir que en la pràctica aquests mecanismes fan poca cosa més que en dificultar-ne l'accés.

A més, no cal oblidar que com a molt serveix per intentar protegir un tram de xarxa. No té res a fer per a protegir el que realment interessa: Els servidors o les dades a les quals no s'ha de permetre un accés sense autorització. Tampoc cap d'aquestes proteccions ens resol un altre problema, que potencialment és encara més important, que és la vulnerabilitat via internet. Amb wifi cal que qui en vulgui fer un mal ús disposi al menys de cobertura, en internet ens ho poden fer des d'arreu del món. "Tancar" els punts d'accés amb WEP pot tenir doncs el perill de crear una falsa sensació de seguretat simplement per haver posat dificultats en l'accés a la una de les parts de la xarxa, quan en realitat ni han d'altres, i a més, el que volem protegir realment és sempre ordinadors i dades.

En canvi, el que si que es pot fer és delimitar quines són les coses a protegir i quines no. Si posem el punt d'accés, encara que sigui obert, sempre en una zona DMZ ("desmilitaritzada" o desprotegida) i situem els punts a protegir en zones segures, obtindrem un resultat molt millor.

Per entendrens, en el nostre esquema, "guifi.net" és conceptualment una zona desmilitaritzada, que és la que correspòn a les adreces 10.138.X.X.

Hi ha moltes maneres de fer això i exposades en ordre de menys protecció a més:

1. La més senzilla és simplement incorporant un programa tallafocs en els nostres ordinadors de manera que ens permeti detectar quin trànsit i per a quines aplicacions. Els sistemes Linux n'incorporen sempre un. En sistemes windows hi ha diverses opcions comercials. Én sistemes Windows o Linux amb Samba, és important que en el moment de permetre compartir un recurs (Impressora, disc) es faci de forma controlada, sabent què, com i a qui donem l'accés.
2. Tanmateix els programes de tallafocs son de fet ja dins de l'ordinador, per tant només actuen sobre els missatges que ja han arrivat. Una manera de posar un nivell de seguretat eficaç addicional és incorporant un tallafocs des d'un altre equip que s'encarregui de fer l'enrutament. Això pot ser des d'un altre ordinador, el mateix router que tenim si es disposa d'aquesta funcionalitat (per exemple un WRT54G ja incorpora algunes funcions), o comprant-ne un que faci específicament aquesta funció. Avui dia n'hi han a partir de poc més de 50/60 euros. Al tenir un tallafocs separat que fa de "porta" cap a la zona segura, això ja ens permetrà de tenir una sunbxarxa pròpia (en el nostre cas, les 192.168.X.X), diferent de la de guifi.net i per tant delimitant ben clarament la zona desmilitaritzada de la protegida.
3. Connectant ordinadors que volem tenir protegits a través de trams de xarxa desprotegits creats via xarxes privades virtuals (VPN). Els sistemes basats en *ix incorporen ja diverses funcionalitat per a fer-ho. Els sitemes Windows no sé ben bé com ho tenen, però em consta que el que segur que fan com a mínim es connectar-se com a clients d'aquestes VPN.
4. Aquestes VPN, també els podem establir des de tallafocs, de manera transparent als ordinadors que hi ha dins de la zona protegida. Tallafocs amb aquesta funcionalitat n'hi ha a partir d'uns 100 euros i en teniu un exemple si mireu el document Construint xarxes segures i privades.

Resum

Si el que volem es protegir els nostres ordinadors, el que cal és delimitar quines coses volem protegir i aplicar, en funció del nivell de protecció que volguem aconseguir, alguna de les solucions descrites avans. Posar un punt d'accès en WEP, en la meva opinió, seria de totes elles la que que aporta menys protecció i, en canvi, l'unic que aconseguirem és posar dificultats a l'accés a la xarxa.