Sans faire trop compliqué, beaucoup de points d'accès possèdent un serveur DHCP qui permet à tout client d'obtenir un accès sur ce dernier. Un serveur DHCP permet à un ordinateur d'obtenir tous les paramètres nécessaires pour communiquer sur le réseau, comme l'adresse IP, la passerelle pour se connecter à internet, les serveurs de résolution des noms de domaine, etc.. Or ce dernier est trop souvent activé par défaut sur les points d'accès : grâce à cette caractéristique toute personne passant à portée radio de votre point d'accès pourra se faire attribuer une IP sur ce dernier.
Les protections supplémentaires comme le filtrage d'adresse MAC (unique pour chaque carte réseau) et le cryptage WEP intégré dans pratiquement tous les matériels wifi ne seront que des protections en plus mais sachez qu'elles sont très facilement contournables. En effet la clef WEP ne change pas régulièrement, donc il suffit pour un ordinateur voulant se connecter sur votre réseau d'écouter les transmissions de vos postes pour obtenir, après un certains nombre de données échangées, la clef WEP car les données se cryptent toujours de la même manière avec la même clef. Une norme supérieure d'encodage des données est en train d'être mise en place pour remédier à ce problème.

"Je sais qui vous êtes" : Lorsque vous demandez à votre matériel équipé d'une carte wifi de trouver les réseaux disponibles il va faire référence aux SSID, qui représentent l'identifiant réseau. A l'inverse si vous connaissez une adresse MAC du point d'accès ou d'une carte wifi vous saurez immédiatement de quel matériel il s'agit.

Voici quelques conseils pour sécuriser un peu plus son réseau sans fils :

- Modifiez le nom SSID par défaut.
- Désactivez SSID Broadcasts (Diffusion du nom SSID).
- Modifiez le mot de passe par défaut du compte de l'administrateur
- Activez MAC Address Filtering (Filtrage des adresses MAC).
- Modifiez régulièrement le nom SSID.
- Activez le cryptage WEP. (L'activation du WEP est un plus mais ralentit le débit d'information : temps de cryptage - décryptage).
- Modifiez les clés de cryptage WEP régulièrement.

Pour les connaisseurs ou experts en réseaux et surtout pour les entreprises:

- Installez un firewall comme si le point d'accès était une connexion internet.
- Ce firewall sera le serveur ipsec (VPN) des clients sans fils.
- Faire l'authentification grâce à un serveur LDAP, Radius.

Chacun est libre de modifier ces règles en ajoutant des couches supplémentaires. Sachez que le futur protocole IP ipv6 contient dans ses paquets la sécurisation ipsec. L'ipv6 peut être utilisé en wifi si les clients gèrent l'ipv6, actuellement tous les Linux, Unix ont une pile ipv6 fonctionnelle, sur windows 2000 et XP l'ipv6 est activable et utilisable mais sera proposé par défaut dans les prochaines versions.

Un réseau wifi "sécurisé" peut se shématiser comme ci-dessus. On considère içi que tout le réseau Wifi est étranger au réseau local, au même titre qu'internet. L'utilisation d'un parefeu (firewall) comme pour la connexion internet, permet de filtrer les adresses MAC associé à des adresses IP fixes. Dans le cas du VPN, le firewall ou un serveur derrière ce dernier fait office de terminal VPN. Certains points d'accès proposent des "petits" firewall permettant de faire un filtrage de plus sur les clients de votre réseau.

La sécurisation d'un réseau qu'il soit filaire ou sans fils est possible par de nombreux moyens matériels et/ou logiciels. Son choix dépend de l'utilisation que vous voulez faire de votre réseau et des moyens dont vous disposez.