Cisco Wireless Security Solu/ons – Layer 2 A6acks 

The Challenge of Wireless Security  Implementa/on of wireless systems presents a unique security concern in that wireless is an uncontained medium.  Two primary concerns arise from this: unauthorized access, and “eves dropping”.  Wireless networks can be segregated into separate network so unauthorized access to proprietary informa/on would not be possible.  However, this limits the usefulness of the system. In order to achieve versa/le yet secure access via the wireless system, comprehensive security mechanisms must be put into place.  

Cisco’s Approach to Wireless Security  Comprehensive security requires a mul/‐/ered approach: •  Layer 1, Surveillance •  Layer 2 and 3 Authen/ca/on, Encryp/on, Detec/on •  Layer 4‐7 Encryp/on and Assessment.   •  Mi/ga/on at all levels   Cisco provides a comprehensive approach to wireless security, offering enterprises the ability to address the threats of access and eves dropping.  This at‐a‐glance focuses specifically on the layer 2 aspect of preven/ng unauthorized access to the wireless network.  Fully protected networks must protect the management traffic as well as the data traffic.  

Layer 2 Vulnerabili<es  Tools are readily available for users to a6empt to break passwords and gain access to wireless networks.  Standard SOHO methods such as PSK (Pre Shared Keys) are not sufficient for preven/ng unauthorized access to sensi/ve enterprise networks.   Tools exist that allow hackers to crack all types of PSK security, even WPA2‐PSK.  Once cracked, hackers can gain access to enterprise networks or decode sensi/ve captured traffic.  However, stronger forms of authen/ca/on are available for the enterprise wireless network.   

 Protec<ng Against A>acks  Preven/ng unauthorized access to wireless systems and the data requires a mul/ple /ered approach.  802.11i provides a suite of protocols for robust security.  However, it does not specify the use and implementa/on of authen/ca/on protocols.  While some of the more advanced protocols such as WPA and WPA2 allow for the use of PSK, the enterprise will require a more sophis/cated form of security.     

© 2011 Cisco and/or its affiliates.  All Rights Reserved  

Protec<ng Against A>acks (Con<nued)  The 802.1X protocol provides a mechanism to open a port or connec/on in both wired and wireless deployments.  While many wired deployments assume physical security of the port to be enough, in wireless this is not the case.  802.1X offers a number of different implementa/ons such as LEAP, PEAP, EAP‐FAST, EAP‐TTLS, and EAP‐TLS.  These protocols have the ability to verify authen/city and establish a secure TLS tunnel prior to sending authen/ca/on creden/als.  This makes these forms of access much more secure from eve’s droppers a6emp/ng to access keys and passwords.  The 802.1X protocol then acts as a guard for the port or connec/on preven/ng any traffic except a very specific message for authen/ca/on to be passed.    This system requires three components, the supplicant (device side), authen/cator (Access Point), and the authen/ca/on server (Cisco ACS or Wireless LAN controller for smaller deployments).  Using this method, the AP acts as a gatekeeper, not allowing any traffic to pass except a very simple and specific set of messages call EAPOL that communicate between the server and the supplicant.  Once the server (and for added security, the device) iden/ty is verified, a secure tunnel can be set up and machine authen/ca/on and/or user authen/ca/on can be performed.  Only ager iden//es are verified and creden/als are established does the AP allow traffic to pass onto the network.  802.1X Enforcement occurring at the AP prevents unauthorized access into any part of the network.   

Cisco’s Solu<on for Wireless Security  While 802.1X can provide access security into the network, there are many parts to wireless security.  Cisco uses a comprehensive approach to providing security.    Cisco Wireless LAN Controllers and Access Points  Secure over the air communica/on: •  Management Frame Protec/on •  FIPS Validated 802.11i data encryp/on •  Port based 802.1x over the aire authen/ca/on enforced 

at the Access Point 

Secure Wireless Infrastructure: •  All components, Access Points & WLAN Controllers 

installed with x.509 Cer/ficates to ensure only trusted Access Points communicate to WLAN Controller 

•  IETF Standards based CAPWAP protocol between AP and WLAN controller ensures secure, publically ve6ed protocol 

•  FIPS Validated AES 256 encryp/on of all CAPWAP control and data traffic. 

 

Provides Wireless Intrusion Detec/on and Protec/on:  •  Detect, alert and mi/gate for any unauthorized Wi‐Fi 

device •  Detect and alert over the air wireless a6acks and exploits •  Iden/fy and track the loca/on of the unauthorized devices  Supports Clean Air technology: •  Iden/fica/on of non‐WiFi threats  •  Loca/on of those threats •  Rapid adapta/on of the network to the threats  Cisco Adap<ve Security Appliance 5500 Series & AnyConnect  Secure supplicant for wireless devices: •  PC •  Apple OS and iOS •  Android (including CIUS and Samsung Galaxy)  •  Windows Mobile  VPN connec/vity can be layered on top of wireless security.  Includes firewall and posture for status of an/‐virus, an/‐spyware, and firewall on devices.  Cisco Access Control System  Delivers an 802.1X authen/ca/on server, VLAN override capability and Secure Authen/ca/on of Management. 

 Cisco Catalyst Switches  Integrates 802.1X authen/ca/on of access points and VLAN separa/on of traffic. 

 Learn More   For more informa/on, please go to the following website: www.cisco.com/go/cyber 

Cisco Wireless Security Solu/ons – Layer 2 A6acks  

© 2011 Cisco and/or its affiliates.  All Rights Reserved