Tipo de Información que contiene la red.

Las WLAN requieren el mismo tipo de tratamiento de la información , su recolección, análisis y documentación que para cualquier LAN, se deben utilizar herramientas especializadas para redes inalámbricas pero con las mismas funciones que para las redes cableadas.

Para la recolección de la información en  las WLAN se debe tener amplio conocimiento en ellas, conocer los elementos con los que se cuentan, la arquitectura de la red, las herramientas disponibles y conocimientos en computación forense para el proceso de la investigación y la manipulación de la evidencia.

Hay que anotar que el estándar 802.11b WLAN cuenta con más datos en el paquete, es decir, más campos que analizar que cualquier otro miembro de la familia de protocolos 802 y son pocos los especialistas en este área. Las WLAN son más sencillas con respecto a las redes inalámbricas de circuitos conmutados en canto a componentes que la integran.

Portátiles y tarjetas WLAN

De igual forma que en las redes inalámbricas de circuitos conmutados , la información que se puede obtener de un portátil es información personal del usuario, como las actividades, contactos, calendario, cookies, redes accedidas, etc.

Puntos de Acceso

Un Punto de Acceso debe registrar logs de los usuarios y el tráfico en su dominio, asociaciones basadas en la dirección MAC, debe permitir o negar tráficos específicos y conceder permisos a usuarios. Dependiendo de la marca de los Puntos de Acceso pueden registrar el tráfico por dirección IP o métodos de autenticación utilizados en la comunicación establecida con la red.

El estudio de los logs son críticos en una investigación para establecer relaciones y rastrear el comportamiento  establecer patrones de comportamiento de la red [38][2].

Es útil la utilización de herramientas especializadas para el análisis y recolección automático de tráfico. Herramientas como AirSnort y Airopeek son ampliamente utilizadas, permite monitorear las transmisiones que utilicen el protocolo WEP y análisis del tráfico transmitido por los canales, para detectar problemas y detectan problemas dela red y emiten alarmas, respectivamente.

Se debe aplicar las técnicas forenses para la preservar la integridad de los datos, la recolección de la información y la documentación del procedimiento utilizado, paso por paso, con el fin de, en caso de ser necesario, sea admitida la evidencia como prueba ante una corte.

Redes visitadas

La información en esta área aplica igual que en las redes inalámbricas de circuitos conmutados. Es decir que el usuario puede conectarse a otras redes a través de la WLAN en la que se encuentra y en estas redes accedidas es muy posible encontrar información relevante para la investigación que reflejen el comportamiento del usuario como son los logs de sesiones de red.

Estas redes se pueden encontrar en cualquier lugar del mundo, desde una Intranet hasta Internet y desde redes locales hasta redes en otros países.

En el caso de que la red sea local, es posible que existan servidores web, firewalls, servidores de DHCP (Dynamic Host Configuration Protocol), entre otros. En este caso obtener los registros o logs de sesión es sencillo si se conoce la arquitectura de la  red y se aplican técnicas de logging. En los servidores de firewall y DHCP se pueden encontrar relacionadas las direcciones IP y MAC asignadas a los equipos móviles posibilitando el seguimiento de las actividades de un usuario.