17574

Защита на уровне IP

Лабораторная работа

Информатика, кибернетика и программирование

Лабораторная работа № 4.4 Тема: Структура отчета Титульный лист. Тема и цель работы. Задание и номер варианта. Краткие теоретические сведения. Ход работы. Выводы. Теоретические сведения Защита на уровне IP Cообщество Internet разработало...

Русский

2013-07-04

13.27 MB

5 чел.

Лабораторная работа № 4.4

Тема: 

Структура отчета

  1.  Титульный лист.
  2.  Тема и цель работы.
  3.  Задание и номер варианта.
  4.  Краткие теоретические сведения.
  5.  Ход работы.
  6.  Выводы.

Теоретические сведения

Защита на уровне IP

Cообщество Internet разработало механизмы эащиты для  целого  ряда областей  применения,   включай электронную    почту    (S/MIME,    PGP),    клиент-серверные приложения (Kerberos), доступ к ресурсам Web (Secure Sockets Layer — протокол защищенных сокетов) и др. Однако имеются и некоторые касающиеся защиты моменты, не укладывающиеся в рамки протокола определенного уровня. Например, предприятие может защищать свою сеть TCP/IP с помощью запрета доступа к ненадежным узлам, шифруя пакеты данных, покидающие рамки сети предприятия, и требуя аутентификации пакетов, входящих в эту сеть извне. С помощью реализации защиты на уровне IP (Internet Protocol — протокол межсетевого взаимодействия) организация может обеспечить себе спокойную работу в сети не только для приложений, которые имеют свои средства защиты, но и для приложений, не обладающих такими средствами.

Защита на уровне IP охватывает три сферы безопасно: аутентификацию, конфиденциальность и управление ключами. Механизм аутентификации должен гарантировать, что полученный пакет был на самом деле отправлен стороной, указанной как источник в заголовке пакета. Кроме того, этот механизм должен гарантировать, что пакет не был изменен в процессе его доставки. Средства конфиденциальности должны обеспечивать возможность взаимодействующим сторонам шифровать сообщения, чтобы исключить прочтение передаваемых сообщений третьей стороной. Средства управлении ключами должны гарантировать защищенный обмен ключами.

Обзор возможностей защиты на уровне IP

В 1994 году Совет по архитектуре Internet (Internet Architecture BoardIAB) опубликовал отчет, названный "Защита в архитектуре Internet" (документ RFC 1636, "Security in the Internet Architecture"). Отчет отобразил общее мнение о том, что Internet нуждается в большей и лучшей защите, и определил области применения ключей в механизмах защиты. Среди прочего указывалось на необходимость защиты сетевой инфраструктуры от несанкционированного мониторинга и управления потоками данных, а также на необходимость защиты сквозного обмена данными между пользователями с помощью средств аутентификации и шифрования.

Такие требования были  вполне оправданны. Как подтверждение этому ежегодный отчет CERT (Computer Emergency Rresponse Team — группа компьютерной "скорой помощи") от 1997 года сообщает более чем о 2500 зарегистрированных случаях нарушений защиты, повлиявших на работу около 150000 узлов. К наиболее серьезным типам атак относились обман IP, при котором нарушители сои дают пакеты с ложными IP-адресами и используют приложения, предполагаю щие аутентификацию на основе IP, и различные формы перехвата информации и пакетов с данными, когда нарушители читали передаваемую информацию, включая информацию аутентификации и содержимое баз данных.

В ответ на эту угрозу LAB включил в протокол IP следующего поколения, названный IPv6, требование средств аутентификации и шифрования как необходимых средств защиты. К счастью, эти средства защиты таковы, что имеется возможность их применения как с протоколом IPv4, так и с протоколом IPv6.

Области применения IPSec

Протокол IPSec обеспечивает защиту обмена данными в локальных сетях (LAN), корпоративных и открытых глобальных сетях (WAN) и в Internet. Примеры его применения включают следующее.

  •  Защищенный доступ к филиалу организации через Internet. Компания может построить  защищенную  частную  виртуальную сеть в рамкам сети Internet или другой открытой глобальной сети. Это позволяет использовать каналы Internet и тем самым сократить расходы на создание и поддержку частной сети.
  •  Защищенный удаленный доступ через Internet. Конечный пользователь, в системе которого Предусмотрены протоколы защиты IP, может с помощью локального телефонного вызова обратиться к поставщику услуг Internet и получить защищенный доступ к сети компании. Это сокращает транспортные расходы служащих и надомных работников.
  •  Внутрисетевое и межсетевое взаимодействие с партнерами. Средства IPSec могут служить для того, чтобы обеспечить защищенную связь с другими организациями,  гарантируя аутентификацию и конфиденциальность и обеспечивая механизм обмена ключами.

Усиление защиты электронных коммерческих операций. Даже если какие-то приложения Web и электронной коммерции имеют встроенные механизмы защиты данных, использование IPSec усиливает эту защиту.

Главным свойством IPSec, которое позволяет этому протоколу поддерживать самые разнообразные приложения, является возможность шифрования и аутентификации всего потока обмена данными на уровне IP. Таким образом защита может быть обеспечена любому распределенному приложению, включая удаленную регистрацию, клиент-серверные приложения, электронную почту, передачу файлов, доступ в Web и т.д.

На рис.1 показан типичный сценарий использования IPSec. Некоторая организация поддерживает ряд локальных сетей, находящихся в разных местах. В рамках любой локальной сети поток обмена данными IP не защищается. Для обмена данными через некоторую корпоративную или открытую внешнюю глобальную сеть используются протоколы IPSec. Эти протоколы действуют в устройствах по периметру сети, например в маршрутизаторах или экранах, через  которые  локальные  сети  соединяются  с  внешним   миром.   Такое сетевое устройство IPSec обычно шифрует и сжимает весь поток данных, отправляемых в глобальную сеть, и дешифрует и разворачивает данные получаемые из внешней сети. Все выполняемые в этом случае операции не заметны для рабочих станций и серверов локальной сети. Защищенный обмен данными возможен и с индивидуальными пользователями, связывающимися с глобальной сетью по телефону. Чтобы обеспечить защиту, рабочие станции таких пользователи также должны применять протоколы IPSec.

Преимущества IPSec

Рассмотрим следующие преимущества IPSec:

Когда IPSec встроен в брандмауэр или маршрутизатор, это обеспечивает надежную защиту, которая может быть применена ко всему потоку данных, пересекающих границу локальной сети. Поток данных внутри локальной сети компании или рабочей группы не перегружается лишними операциями, снизанными с защитой данных.

IPSec в брандмауэре трудно обойти, если весь поток входящих данных должен использовать IP и брандмауэр является единственной точкой входа из Internet в сеть данной организации.

IPSec размещается ниже транспортного уровня (TCP, UDP) и поэтому оказывается незаметным для приложений. Нет необходимости менять программное обеспечение в системах пользователя или сервера, когда в брандмауэре или маршрутизаторе реализуется IPSec. Даже если IPSec реализуется в конечных системах, на программное обеспечение верхнего уровня, включая приложения, это не влияет.

IPSec может быть скрыт от конечного пользователя. Нет необходимости объяснять пользователю механизмы защиты, выдавая ему соответствующие инструкции и требуя их назад, когда данный пользователь покидает организацию.

Если это необходимо, IPSec может обеспечивать защиту индивидуальным пользователям. Это может понадобиться для лиц, работающих вне территории предприятия, или для создания защищенной виртуальной подсети внутри организации для работы с особо важными приложениями.

Рис.1. Сценарий защиты на уровне ІР

Приложения маршрутизации

Кроме поддержки конечных пользователей и защиты систем и сетей предприятия, PSec может играть важную роль в создании архитектуры маршрутизации, необходимой для межсетевого взаимодействия. Применение IPSec может гарантировать, что:

  •  извещение маршрутизатора (когда ноный маршрутизатор объявляет о своем присутствии) приходит от уполномоченного маршрутизатора;
  •  извещение соседнего маршрутизатора (когда маршрутизатор пытается установить отношения соседства с маршрутизатором в другом домене шрутизации) приходит от уполномоченного маршрутизатора;
  •  сообщение переадресации приходит именно от того маршрутизатора, которому изначально посылался пакет;
  •  обновление маршрута не является фальсификацией.

Без использования мер защиты противник может разорвать связь или направить поток данных  в обход  по  некоторому другому  пути.  Для   определенных IPSec защищенных связей между маршрутизаторами должны поддерживаться протоколы маршрутизации типа OSPF (Open Shortest Path First – первоочередное открытие кратчайших маршрутов).

Архитектура защиты на уровне IP

Спецификации IPSec довольно сложны. Чтобы получить общее представление об архитектуре IPSec, мы начнем с обсуждения документов, определяющих IPSec.

Документы IPSec

В августе 1995 года IETF опубликовала пять связанных с защитой сетей проектов стандартов, определяющих возможности защиты на уровне межсетевого взаимодействия:

  •  RFC 1825 — обзор архитектуры защиты,
  •  RFC 1826 — описание расширения аутентификации пакетов IР.
  •  RFC 1828 — конкретный механизм аутентификации,
  •  RFC 1827 — описание расширения шифрования пакетов IP,
  •  RFC 1829 — конкретный механизм шифрования.

Поддержка этих возможностей обязательна для IPv6 и допустима, но не обязательна для IPv4. В обоих случаях средства защиты реализуются в виде заголовков расширений, которые следуют за основным заголовком IР. Заголовок расширения аутентификации называют заголовком АН (Authentication Неader, заголовок аутентификации), а заголовок расширения шифрования - заголовок ESP (Encapsulating Security Payload header — заголовок включающею защиту полезного груза).

Все документы разделены на следующие семь групп (рис. 2).

Рис. 2. Структура документа IPSec

Архитектура. Содержит описание общих принципов, требования защиты,  определения и механизмы реализации технологии IPSec.

Включающий защиту полезный груз (ESP). Описание формата пакета и общих принципов использования ESP для шифрования пакета и возможной аутентификации.

Заголовок аутентификации (АН). Описание формата пакета и общих принципов использования АН для аутентификации пакета.

Алгоритм шифрования. Набор документов, определяющих использование различных алгоритмов шифрования для ESP.

Алгоритм аутентификации. Набор документов, определяющих использование различных алгоритмов аутентификации для АН и для опции аутентификации ESP.

Управление ключами. Документы, описывающие схемы управления ключами.

Область интерпретации (DOI Domain of Interperetaion). Содержит значения, необходимые для соответствия одних документов другим. Это, в частности, идентификаторы проверенных алгоритмов шифрования и идентификации, а также некоторые параметры, например продолжительности жизненного цикла ключей.

Сервис IPSec

IPSec обеспечивает сервис защиты на уровне IP, позволяя системе выбрать необходимые протоколы защиты, определить алгоритм (алгоритмы) для соответствующего сервиса (сервисов) и задать значения любых криптографических ключей, требуемых для запрошенного сервиса. Для защиты используется два протокола: протокол аутентификации, указанный заголовком данного протокола (заголовком аутентификации АН), и комбинированный протокол шифрования/аутентификации, определенный форматом пакета для этого протокола (протокола ESP). В данном случае обеспечиваются следующие виды сервиса

  •  контроль доступа;
  •  целостность без установления соединений;
  •  аутентификация источника данных;
  •  отторжение воспроизведенных пакетов (форма целостности последоиагеш ностей);
  •  конфиденциальность (шифрование);
  •  ограниченная конфиденциальность транспортного потока.

В табл. 1 показано, какие из этих сервисов обеспечиваются протоколами АН и ESP. В случае ESP есть два варианта: с использованием и без использования опции аутентификации. Как АН, так и ESP имеют возможности контроля доступа, основанного на распределении криптографических ключей и управлении транспортными потоками, относящимися к этим протоколам защиты.

Таблица 1. Сервис  IPSec

Защищенные связи

Ключевым объектом в механизмах аутентификации и конфиденциальности для IP является защищенная связь (Security Association). Связь представляет собой одностороннее отношение между отправителем и получателем, применяющим сервис защиты к транспортному потоку. Если требуется равноправное отношение для двустороннего защищенного обмена, необходимы две защищенные связи. Сервис защиты предоставляет возможность для   защищенной связи использовать либо АН, либо ESP, но никогда обе эти возможности одновременно.

Защищенная связь однозначно определяется следующими тремя параметрами:

Индекс параметров защиты. Строка битов, присваиваемая данной защищенной связи и имеющая только локальное значение. Индекс параметров защиты передается в заголовках АН и ESP, чтобы дать принимающей системе возможность выбрать защищенную связь, по которой должен обрабатываться полученный пакет.

Адрес IP адресата. В настоящее время допускаются только однонаправленные адреса — это адрес пункта назначения в защищенной связи, который может представлять систему конечного пользователя или сетевой объект типа брандмауэра или маршрутизатора.

Идентификатор протокола защиты. Этот идентификатор указывает, является ли данная связь защищенной связью АН или это защищенная связь ESP.

Таким образом, в любом пакете IP защищенная связь однозначно идентифицируется адресом пункта назначения в заголовке IPv4 или IPv6 и индексом параметров защиты во вложенном заголовке расширения (АН или ESP).

Параметры защищенной связи

В каждой реализации IPSec имеется номинальная таблица защищенных связей (Security Association Database), которая определяет параметры, связываемые с каждой защищенной связью. Защищенная связь обычно определяется следующими параметрами:

Счетчик порядкового номера. 32-битовое значение, необходимое для поля порядкового номера в заголовках АН или ESP, описываемое в разделе 13.3 ниже (требуется во всех реализациях).

Флаг переполнения счетчика порядкового номера. Флаг, указывающий на переполнение счетчика порядкового номера, что должно порождать отслеживаемое событие и предотвращать дальнейшую передачу пакетов с применением этой защищенной связи (требуется во всех реализациях).

Окно защиты от воспроизведения. Служит для того, чтобы определить, является ли прибывающий пакет АН или пакет ESP воспроизведением, как описано далее (требуется во всех реализациях).

Информация АН. Алгоритм аутентификации, ключи, продолжительности жизни ключей и другие необходимые параметры, используемые в АН (требуются в реализациях АН).

Информация ESP. Алгоритм шифрования и аутентификации, ключи, значения инициализации, продолжительности жизни ключей и другие необходимые параметры, используемые в ESP (требуются в реализациях ESP).

Продолжительность жизни данной защищенной связи. Интервал времени или значение счетчика байтов, после которого защищенная связь должна быть заменена новой защищенной связью.

Режим протокола IPSec. Туннельный, транспортный или задаваемый групповым символом (требуется во всех реализациях).

Максимальная единица передачи (MTU) маршрута. Максимальная единица передачи (максимальный размер пакета, который может быть передан без фрагментации) для любого допустимого маршрута и переменные времени существования (требуются во всех реализациях).

Механизм управления ключами, предназначенный для распределения ключей, связывается с механизмами аутентификации и конфиденциальности только через индекс параметров защиты. Следовательно, аутентификации и конфиденциальность оказываются определенными независимо от конкретногомеханизма управления ключами.

Селекторы защищенной связи

Средством, которым реализуется ассоциация потока IP с конкретной защищенной связью, является номинальная база данных политики защиты (Security Policy Database). В наиболее простой своей форме база данных политики защиты представляет собой набор записей, каждая из которых определяет подмножество потока IP и указывает защищенную связь для этого подмножества потока. В более сложных средах может определяться несколько записей, потенциально соответствующих одной защищенной связи, или множеству защищенных связей, ассоциируемых с одним элементом базы данных политики защиты.

Каждая запись базы данных политики защиты состоит из из набора значений поля IP и протоколов более высокого уровня, называемых селекторами. На самом деле эти селекторы предназначены для фильтрации исходящего потока с целью его отображения в конкретную защищенную связь. Каждый отправляемый пакет IP обрабатывается следующим образом:

1. Сравниваются значения соответственных полей (полей селектора) в пакете с полями базы данных политики защиты, чтобы найти соответствующую запись базы данных политики защиты, в которой укапано нулевое или большее число защищенных связей.

2. Определяются защищенная связь и соответствующий индекс параметров защиты для данного пакета, если таковая требуется.

3. Выполняются необходимые операции IPSec (т.е. обработка АН или ESP).

Запись базы данных политики защиты складывается из следующих селекторов:

Адрес IP адресата. Это может быть одиночный адрес IP, нумерованный список или диапазон адресов, или же группа адресов, задаваемая групповым символом (маской). Последние два варианта предназначены для указания более одной системы-адресата, использующей совместно с другой системой одну защищенную связь (например, за брандмауэром).

Адрес IP источника. Это может быть одиночный адрес IP, нумерованный список или диапазон адресов либо группа адресов, задаваемая групповым символом (маской). Последние два варианта обеспечивают возможность указать более одной системы-источника, использующей совместно с другой системой одну защищенную связь (например, за брандмауэром).

Идентификатор пользователя (UserІD). Идентификатор пользователя, получаемый от операционной системы. Это не поле в заголовке IP или протокола более высокого уровня, но это значение доступно, когда IPSec выполняется в той же операционной системе, с которой работает пользователь.

Уровень секретности данных. Предусмотрен для систем, обеспечивающих защиту информационного потока (например, секретный или несекретный).

Протокол транспортного уровня. Соответствующая информация берется из протокола IPv4 и поля Next Header (следующий заголовок) IPv6. Это может быть конкретный номер протокола, список номеров протоколов или диапазон номеров протоколов.

Протокол IPSec (АН, ESP, АН/ESP). Если присутствует, то взят из протокола IPv4 или из поля Next Header (следующий заголовок) IPv6.

Порты источника и адресата. Это либо конкретные значения портов TCP или UDP, нумерованный список портов, либо порт, представленный групповым символом.

Транспортный и туннельный режимы

Заголовки АН и ESP поддерживают два режима использования: транспортный и туннельный. Суть этих двух режимов лучше всего понять в контексте описаний заголовков АН и ESP, которые представлены далее. Здесь же мы ограничимся общим кратким обзором этих режимом.

Транспортный  режим  

Обеспечивает защиту  прежде  всего для протоколов высшего уровня. Это значит, что защита транспортного режима распространяется на полезный груз пакета IP. Примеры включают сегмент TCP (протокол  управления  передачей)  или  UDP (пользовательский протокол данных), или пакет протокола ICMP (протокол управления сообщениями Internet), которые размещаются непосредственно над IP в стеке главного протокола. Обычно транспортный режим обеспечивает сквозную связь двух главных узлов (например, клиента и сервера или двух рабочих станций). Корда система использует заголовки АН или ESP над IPv4, полезным грузом являются данные, обычно размещаемые сразу после заголовка IP. Для IPv6 полезным грузом являются данные, обычно следующие после заголовка IP и всех имеющихся заголовков расширений IPv6, за возможным исключением заголовка паарметров адресата, который тоже может подлежать защите.

ESP в транспортном режиме шифрует и, если нужно, идентифицирует полезный груз IP, но не заголовок IP. АН в транспортном режиме идентифицирует полезный груз IP и некоторые части заголовка IP.

Туннельный режим

Туннельный режим обеспечивает защиту всего пакета IP. Чтобы выполнить эту задачу, после добавления к пакету IP полей АН или ESP весь пакет, вместе с полями   защиты,   рассматривается   как   полезный   груз   некоторого "внешнего" пакета IP с новым внешним заголовком IP. Весь оригинальный, или внутренний, пакет при этом пересылается через "туннель" от одной точки сетиIP к другой, и ни один из маршрутизаторов на пути не может прочитать внутренний заголовок IP. Ввиду того что оригинальный пакет инкапсулирован в новый, больший пакет может иметь совершенно другие адреса источника и адресата, что усиливает защиту. Туннельный режим используется тогда, когда один или оба конца защищенной связи являются шлюзами защиты, например брандмауэрами или маршрутизаторами, которые основаны на IPSec. При использовании туннельного режима системы в сетях за брандмауэрами могут осуществлять защищенный обмен данными без применения IPSec. Незащищенные пакеты, генерируемые такими системами, связываются по туннелям, проложенным через внешние сети с помощью туннельного режима защищенной связи, установленного программным обеспечением IPSec в брандмауэре или защищенном маршрутизаторе на границе локальной сети.

В табл. 2 представлены функциональные возможности транспортного и туннельного режимов.

Таблица 2. Возможности транспортного и туннельного режимов

Заголовок аутентификации

Заголовок аутентификации (АН) обеспечивает поддержку целостности данных и аутентификации пакетов IP. Свойство целостности данных гарантирует невозможность незаметной модификации содержимого пакета в пути следования. Функция аутентификации дает возможность конечной системе или сетевому устройству идентифицировать пользователя или приложение и соответственно отфильтровать трафик, а также защититься от очень распространенных сегодня в Internet атак с подменой сетевых адресов. Заголовок АН также защищает от атак воспроизведения сообщений.

Аутентификация опирается на использование кода аутентичности сообщения (MACMessage Authentication Code), как объяснялось в главе 8, поэтому две стороны должны для этого использовать общий секретный ключ.

Заголовок аутентификации состоит из следующих полей (рис. 3).

Следующий заголовок (8 битов). Идентифицирует тип заголовка, следующего непосредственно за данным заголовком.

Рис. 3. Заголовок аутентификации IPSec

Длина полезного груза (8 битов). Длина заголовка аутентификации в 32-битовых словах, уменьшенная на 2. Например, установленная по умолчанию длина поля данных аутентификации равна 96 битам, или трем 32-битовым словам. Вместе с заголовком фиксированной длины в три слова общая длина всего заголовка оказывается равной шести слонам, поэтому в поле длины полезного груза в этом случае указывается значение 4.

  •  Зарезервировано (16 битов). Для будущего использования.
  •  Индекс параметров защиты (32 бита). Идентифицирует защищенную связь.
  •  Порядковый номер (32 бита). Значение счетчика, которое будет описано ниже.
  •  Данные аутентификации (переменной длины). Поле переменной длины (которая должна представлять собой целое число 32-битовых слов), содержащее код ICV (Integrity Check Value — код контроля целостности) или MAC для данного пакета, что будет описано ниже.

Сервис защиты от воспроизведения

Атаки воспроизведения сообщений заключаются в том, что противник может получить экземпляр удостоверенного пакета и позже предъявить его предполагаемому адресату. Повторное получение одинаковых удостоверенных  пакетов может каким-то образом нарушить сервис или иметь какие-то другие нежелательные последствия. Поле порядкового номера предлагается специального для того, чтобы воспрепятствовать возможности такой формы атаки.

Когда устанавливается новая защищенная связь, отправитель инициализирует счетчик порядкового номера, приняв соответствующее зннче ние равным 0. Каждый раз, когда по этой защищенной связи посылается пакет, отправитель увеличивает значение данного счетчика и помещает это значение в поле порядкового номера. Таким образом, первым используемым значением будет 1. Если активна функции защиты от воспроизведения (что предполагается по умолчанию), отправитель не должен позволить порядковому номеру превзойти значение 232-1 и уменьшиться к нулю.   Иначе получится несколько действительных пакетов с одним и тем же порядковым номером. Если предел 232-1 оказывается достигнутым, отправитель должен завершить данную защищенную связь и начать переговоры о создании новой защищенной связи с новым ключом.

Ввиду того что ІР представляет обмен без установления соединений, а значит, является не слишком надежным сервисом, протокол не гарантирует, что пакеты будут доставлены в требуемом порядке и даже не гарантирует, что доставлены будут все пакеты. Поэтому документ аутентификации IPSec требует, чтобы получатель имел для этого окно размера W; по умолчанию W = 64. Правая граница окна представляет наивысший порядковый номер N до сих пор полученных действительных пакетов. Для любого пакета с порядковым номером из диапазона от NW+1 до N, который принят корректно (т.е. должным образом аутентифицирован), помечается соответствующий сегмент окна (рис. 4). Когда пакет принимается, его обработка выполняется следующим образом:

  1.  Если полученный пакет попадает в рамки окна и является новым, проверяется значение MAC. Если аутентификация пакета завершается успешно, помечается соответствующий сегмент в окне.
  2.  Если полученный пакет попадает в область правее окна и является новым, проверяется значение MAC. Если аутентификация пакета завершается успешно, окно раздвигается так, чтобы новый порядковый номер оказался правой границей окна, а в окне помечается соответствующий сегмент.
  3.  Если полученный пакет оказывается слева от окна или аутентификация не удается, пакет будет отвергнут. Такое событие должно фиксироваться.

Рис. 4. Механизм защиты от воспроизведения

Код контроля целостности

Поле данных аутентификации содержит значение, называемое кодом ICV (кодом контроля целостности). Код ICV представляет собой код аутентичности сообщения или усеченную версию кода, порожденного алгоритмом МАС. Имеющиеся сегодня спецификации требуют, чтобы любая реализация поддерживала следующие схемы:

  •  HMAC-MD5-90.
  •  HMAC-SHA-1-90.

Любая из этих схем предполагает использование алгоритма HMAC в первом случае с использованием хэш-кода MD5, а во втором хэш-кода SHA-1. В обеих ситуациях вычисляется  полное значение НМАС, но затем оно обрезается до первых 96 битов, что является длинной по умолчанию для поля данных аутентификации.

Для вычисления значения МАС берется следующая информация:

  •  Поля IP, которые либо не изменяются в пути следовании, либо имеют прогнозируемые значения в пункте назначения защищенной связи АН. Поля, которые могут измениться в  следования и значения которых в конечной точке нельзя предсказать, обнуляются для вычислений и в пункте отправления, и в пункте назначения.
  •  Заголовок АН, отличный от поля данных аутентификации. Поле данных аутентификации обнуляется для вычислений и в пункте отправления, и в пункте назначения.
  •  Все данные протокола верхнего уровня, которые предполагаются неизменными в пути следования (например, сегмент TCP или внутренний пакет в туннельном режиме).

Для IPv4 примерами неизменяемых полей являются поля длины заголовка Internet и адреса источника. Примером изменяемого, но прогнозируемого по значению поля служит поле адреса получателя. Примерами изменяемых полей, которые обнуляются перед вычислением ICV, являются поля времени существования контрольной суммы заголовка. Заметим, что поля адреса как источиника, так и адресата защищаются, так что их фальсификация исключена.

Для IPv6 примерами соответствующих типов полей в базовом заголовке являются поля версии (неизменяемое), адреса получателя (изменяемое, прогнозируемое) и метки потока (изменяемое и обнуляемое для вычислений).

Транспортный и туннельный режимы

На рис. 5 показано два варианта использования сервиса аутентификации IPSec. В первом случае аутентификация выполняется непосредственно между сервером и рабочими станциями клиентов, причем рабочие станции могут помещаться в той же сети, что и сервер, или во внешней сети. Если рабочие станции и сервер используют общие защищенные секретные ключи, процесс аутентификации оказывается защищенным. В этом случае применяется транспортный режим защищенной связи. Во втором случае удаленные рабочие станции идентифицируются корпоративным брандмауэром либо для доступа ко всей внутренней сети, либо просто потому, что затребованный сервер не поддерживает функции аутентификации. В такой ситуации используется туннельный режим защищенной связи.

Рис. 5. схемы аутентификации

В этом подразделе мы рассмотрим область применения аутентификации, обеспечиваемой с помощью протокола АН, и размещение заголовка аутентификации в каждом из двух режимов. При этом случаи ІРv4 и IРv6 несколько разнличаются. На рис. 6(а) показаны типичные пакеты ІРv4 и IРv6 . В этом случае полезным грузом ІР является сегмент ТСР, но это могли быть данные любого другого протокола, использующего ІР, например протокола UDP или ІСМР.

Для транспортного режима АН с применением ІРv4 данные АН размещаются непосредственно после оригинального заголовка ІР и перед полезным грузом ІР (например, сегментом ТСР), как показано в верхней части рис. 6(б). Аутентификации подлежит весь пакет, за исключением изменяемых полей в заголовке ІРv4, которые обнуляются для вычисления значения МАС.

Рис. 6. Область применения аутентификации АН

В контексте IРv6 данные АН рассматриваются как полезный груз сквозной передачи; т.е. проверка и обработка этих данных промежуточными маршрутизаторами не предполагается. Поэтому данные АН размещаются после базового заголовка IРv6  и заголовков расширений транзита, маршрутизации и фрагментации. Заголовок расширения параметров адресации может размещаться до или после заголовка АН в зависимости от требований семантики. Опять же, аутентификация предполагается для всего пакета, за исключением изменяемых полей, которые обнуляются для вычисления значения МАС.

Для туннельного режима АН удостоверяется весь оригинальный пакет ІР, а заголовок АН вставляется между оригинальным заголовком ІР и новым внешним заголовком ІР (рис. 6(в)). Внутренний заголовок ІР несет адреса оригинальных источника и адресата, в то время как внешний заголовок ІР может содержатьсовершенно другие адреса ІР (например, адреса брандмауэров или других шлюзов защиты).

В туннельном режиме весь внутренний пакет ІР, включая весь внутренний заголовок ІР, защищается средствами АН. Внешний заголовок ІР (а в счучае IРv6 и внешние заголовки расширений ІР) защищается с исключением изменяемых и непрогнозируемых по значению полей.

Включающий защиту полезный груз

Протокол ESP (Encapsulating Security Payload — включающий защиту полезный груз) обеспечивает сервис конфиденциальности, в том числе защиту содержимого сообщения и ограниченную конфиденциальность для транспортного потока. В качестве дополнительной возможности ESP может обеспечить тот же сервис аутентификации, что и АН.

Формат ESP

На рис. 7 показан формат пакета ESP. Он содержит следующие поля.

Индекс параметров защиты (32 бита). Идентифицирует защищенную связь.

Порядковый номер (32 бита). Значение счетчика, обеспечивающее функцию защиты от воспроизведения, как и в случае для АН.

Полезный груз (переменной длины). Это сегмент транспортного уровня (в транспортном режиме) или пакет IP (в туннельном режиме), который защищается шифрованием.

Заполнитель (0-255 байтов). Назначение этого поля приведено ниже.

Длина заполнителя (8 битов). Указывает число байтов заполнителя, непосредственно предшествующего данному полю.

Следующий заголовок (8 битов). Идентифицирует тип данных, содержащихся в поле данных полезного груза, с помощью идентификации первого заголовка этого полезного груза (например, заголовка расширения IPv6 или протокола верхнего уровня, такого как TCP).

Данные аутентификации (переменной длины). Поле переменной длины (которая должна представлять собой целое число 32-битовых слов), содержащее код ICV (Integrity Check Value — код контроля целостности), вычисляемый для всего пакета ESP без поля данных аутентификации.

Рис. 7. Формат ESP

Шифрование и алгоритмы аутентификации

Сервис ESP предполагает шифрование полей полезного груза, заполнителя, длины заполнителя и следующего заголовка. Если для алгоритма, используемого при шифровании полезного груза, требуется криптографическая синхронизация данных, например вектор инициализации (IV), то необходимые данные могут пить перенесены в начало поля полезного груза. При наличии значения IV оно обычно не шифруется, хотя часто считается частью шифрованного текста.

Имеющиеся на сегодня спецификации требуют, чтобы любая реализация поддерживала использование алгоритма DES в режиме СВС (режим сцепления шифрованных блоков). В документе DOI определяется ряд идентификаторов для других алгоритмов, которые таким образом, тоже легко могут применятся для шифрования. Среди таких алгоритмов необходимо нажать следующие:

  •  "тройной" DES с тремя ключами,
  •  RC5,
  •  IDEA,
  •  "тройной" IDEA с тремя ключами,
  •  CAST,
  •  Blowfish.

Как и АН, протокол ESP поддерживает использование значений MAC длиной ни умолчанию 96 битов. Так же как и в случае с АН, имеющиеся сегодня спецификации требуют, чтобы любая реализация поддерживала схемы HMAC-MD5-96 и НМАС-SНA-1-96.

Использование заполнителя

Поле заполнителя предназначено для следующих целей:

1. Если алгоритм шифрования требует, чтобы длина открытого текста была кратна некоторому целому числу байтов (например, длине одного блока блочного шифра), поле заполнителя служит для того, чтобы дополнить открытый текст (складывающийся из полей полезного груза, заполнителя, длины заполнителя и следующего заголовка) до нужной длины.

2. Формат ESP требует, чтобы поля длины заполнителя и следующего заголовка были выровнены по правому краю в 32-битовом слове. Это эквивалентно требованию, чтобы шифрованный текст имел длину, кратную 32 битам. Поле заполнителя предназначено для того, чтобы осуществить такое выравнивание.

3. Дополнительное заполнение можно использовать тогда, когда требуется обеспечить частичную конфиденциальность для транспортного потока чтобы скрыть истинную длину полезного груза.

Транспортный и туннельный режимы

На рис 8 показано два варианта применения сервиса ESP протокола IPSec. В верхней части рисунка шифрование (и, как опция, аутентификация) осуществляется непосредственно между двумя узлами. На рис. 13.8(б) показано, как использовать туннельный режим, чтобы организовать виртуальную частную сеть. В этом примере некоторая организация имеет четыре частные сети, связанные через Internet. Узлы внутренних сетей используют Internet для передачи данных, но не взаимодействуют с другими размещенными и Internet узлами. Поскольку эти туннели заканчиваются в шлюзе защиты каждой внутренней сети,  такая кая конфигурация позволяет внутренним узлам этих сетей избежать необходимости использования механизмов защиты. В первом варианте применяется транспортный режим защищенной связи, а во втором — туннельный режим.

Мы рассмотрим пределы применения ESP в каждом из этих режимов. В данном случае ситуации для IPv4 и IPv6 несколько различаются. Как и в случае с протоколом АН, для описания области действия мы будем использовать форматы пакетов, подобные показанным на рис.6(a).

Рис. 8. Шифрование в транспортном и туннельном режимах

Транспортный режим ESP

Транспортный режим ESP служит для шифрования и, если нужно, аутентификации данных, пересылаемых по протоколу IP (например, сегмента TCP), как показано на рис. 9(a). Для этого режима в случае с IPv4 заголовок ESP размещается в пакете IP непосредственно перед заголовком транспортного уровня (например, TCP, UDP, ICMP), а концевик (trailer) пакета ESP (содержащий поля зпполнителя, длины заполнителя и следующего заголовка) размещается после пакета IP; если же используется функция аутентификации, то поле данных аутентификации ESP добавляется после концевика ESP. Весь сегмент транспортного уровня вместе с концевиком ESP шифруются. Аутентификация охватывает весь шифрованный текст и заголовок ESP.

В контексте IPv6 данные ESP рассматриваются как предназначенный для сквозной пересылки полезный груз, не предполагающий проверку или обработку промежуточными маршрутизаторами. Поэтому заголовок ESP размещается после основного заголовка IPv6 и заголовков расширений транзита, маршрутизации и фрагментации. Заголовок расширения параметров адресата может быть помещен до или после заголовка ESP — в зависимости от требований семантики. В случае IРv6 шифрование охватывает весь сегмент транспортного уровня вместе с концевиком ESP, а также заголовок расширения параметров адресата, если этот заголовок размещается после заголовка ESP. Аутентификация предполагается для шифрованного текста и заголовка ESP.

В транспортном режиме выполняются следующие операции:

  1.  В узле источника блок данных, состоящий из концевика ESP и всего сегмента транспортного уровня, шифруется, а открытый текст этого блока заменяется шифрованным текстом, что формирует пакет IP для пересылки. Если выбрана опция аутентификации, то добавляется поле аутентификации.
  2.  Затем пакет направляется адресату. Каждый промежуточный маршрутизатор должен проверить и обработать заголовок IP, а также все заголовки расширений IP, доступные в нешифрованном виде. Шифрованный текст при этом остается неизменным.
  3.   Узел адресата проверяет и обрабатывает заголовок IP и все заголовки расширений IP, доступные в нешифрованном виде. Затем на основе информации индекса параметров защиты в заголовке ESP дешифруются остальные части пакета, в результате чего становится доступным сегмент транспортного уровня в виде открытого текста.

Использование транспортного режима обеспечивает конфиденциальность для любого применяющего этот режим приложения, что позволяет избежать необходимости реализации функций обеспечения конфиденциальности в отдельном приложении. Этот режим достаточно эффективен, а объем добавляемых к пакету IP данных при этом невелик. Недостатком этого режима является то, что при его использовании не исключается возможность анализа трафика пересылаемых пакетов.

Туннельный режим ESP

Туннельный режим ЕSP предназначен для шифрования всего пакета ( рис. 9.(б)). Для этого режима заголовок ESP добавляется к пакету как префикс затем такой пакет вместе с концевиком ЕSP шифруются. Данный метод можно использовать тогда.,   когда  требуется исключить возможность атак, построенных на анализе трафика.

Ввиду того что заголовок IP содержит адрес пункта назначения и, возможно, директивы исходной маршрутизации вместе с информацией о параметрах транзита, нельзя просто передать шифрованный пакет IP с добавленным к нему в виде префикса заголовком ESP. Промежуточные маршрутизаторы не смогут обработать такой пакет. Таким образом, необходимо включить весь блок (заголовок ESP, шифрованный текст и данные аутентификации, если они есть) во внешний пакет IP с новым заголовком, который будет содержать достаточно информации для маршрутизации, но не для анализа трафика.

В то время как транспортный режим подходит для защиты соединений между узлами, поддерживающими сервис ESP, туннельный режим оказывается полезным в конфигураций, которая предполагает наличие брандмауэра или иного шлюза защиты, предназначенного для защиты надежной внутренней сети от вненшних сетей. В случае с туннельным режимом шифрование используется для обмена только между внешним узлом и шлюзом защиты или между двумя шлюзами защиты. Это разгружает узлы внутренней сети, избавляя их от необходимости шифрования данных, и упрощает процедуру распределения ключей, уменьшая число требуемых ключей. Кроме того, такой подход усложнит проблему анализа потока сообщений, направляемых конкретному адресату,

Рассмотрим случай, когда внешний узел соединяется с узлом внутренней сети, защищенной брандмауэром, и когда ESP используется внешним брандмауэром. Тогда при пересылке сегмента транспортного уровня от внешнего узла к узлу внутренней сети будут выполнены следующие действия:

1. Источник готовит внутренний пакет IP с указанием адреса пункта назначения являющегося узлом внутренней сети. К этому пакету в виде префикса добавляется заголовок ESP. Затем пакет и концевик ESP шифруются и к результату могут быть добавлены данные аутентификации. Полученный блок заключается во внешний пакет IP с новым заголовком ІР (базовый заголовок плюс необязательные расширения, например параметры маршрутизации и транзита для IPv6), в котором адресом пункта значения является адрес брандмауэра.

2. Внешний пакет отправляется брандмауэру. Каждому промежуточному маршрутизатору нужно проверить и обработать внешний заголовок IP и все внешние заголовки расширений IP, оставив шифрованный текст неизменным,

3. Брандмауэр-адресат проверяет и обрабатывает внешний заголовок IР и
внешние заголовки расширений IP. Затем на основе информации
параметров защиты в заголовке ESP брандмауэр дешифрует остальные части пакета, в результате чего становится доступным внутренний пакет IP в виде
открытого текста. Этот пакет
потом передается по внутренней сети.

4.Внутренний пакет направляется через маршрутизаторы внутренней сети или непосредственно к узлу-адресату.

Рис. 9. область действия шифрования и аутентификации  ESP

Практическая часть

Использование IPSec в качестве межсетевого экрана

В применяемых для защиты от разного рода сетевых атак комплексах мер и средств немаловажную задачу выполняют межсетевые экраны (называемые также файрволами или брандмауэрами). Основным назначением межсетевого экрана является осуществление контроля и фильтрация проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. В общем случае, устанавливается набор правил (формируется фильтр), используя которые, экран просматривает все передаваемые и принятые системой пакеты. С пакетами, которые подпадают под критерии отбора, заданные в фильтре, экран производит необходимые действия - например, он может их отклонить, «отрубая» потенциально небезопасные (или заведомо опасные) соединения. Эта технология напоминает охранника у дверей, позволяющего пройти тем, у кого есть пропуск, и закрывающего двери для остальных.

Реализация межсетевых экранов может быть как программной, так и аппаратной. Начиная с линейки Windows XP, корпорация Microsoft стала встраивать программные межсетевые экраны в свои операционные системы (более того, с выпуска пакета исправлений SP2 встроенный брандмауэр по умолчанию запускается автоматически). Однако, реализация брандмауэров Windows, очень далека от совершенства - например, по результатам тестирования встроенного брандмауэра Windows XP, цитирую - «отсутствие полного контроля над трафиком ставит под сомнение целесообразность использования встроенного файрвола вообще». Его ограниченная функциональность заставляет администраторов привлекать для обеспечения безопасности сетевых соединений продукты других разработчиков.

Мы приведем примеры использования IPSec, позволяющие реализовать подобие межсетевого экрана.

Задача №1 - запрещаем весь Интернет-трафик на локальной машине

Мы создадим политику IPSec, запрещающую весь обмен данными по протоколам HTTP и HTTPS.

Открываем консоль MMC (Пуск - Выполнить - mmc).

В меню выбираем команду Консоль, затем Добавить или удалить оснастку. В открывшемся диалоге также щелкаем Добавить, выбираем из открывшегося списка Управление политикой безопасности IP (не перепутайте с Монитором безопасности IP - он пригодится уже на стадии тестирования, если что-то пойдет не так, как планировалось).

В появившемся диалоге выбора компьютера указываем Локальный компьютер. Последовательно закрываем окна, нажимая кнопки Готово, Закрыть, ОК. Теперь в левой панели консоли у нас появится узел Политики безопасности IP на ‘Локальный компьютер'. Сделаем на нем щелчок правой кнопкой мыши и выберем команду Управление списками IP-фильтра...

В открывшемся диалоге нажимаем кнопку Добавить. Откроется еще одно окно - Список фильтров. Пока он пуст. Для того, чтобы в дальнейшем было проще ориентироваться в списках фильтров, зададим название для нового фильтра, напечатав в поле Имя, например, HTTP, HTTPS. Нажимаем кнопку Добавить, чтобы приступить к собственно созданию фильтра. Если вы не сняли флажок Использовать мастер, процесс создания будет сопровожден мастером создания фильтра. Пропускаем его первую страницу, нажимая Далее. На второй странице можно указать описание фильтра. Чтобы вы не запутались - один фильтр может состоять из множества других. Так как мы указали на предыдущем шаге в описании HTTP, HTTPS, сейчас мы последовательно создадим два фильтра - один для HTTP, другой для HTTPS. Результирующий фильтр будет объединять эти два фильтра. Итак, указываем в поле описания HTTP. Флажок Отраженный оставляем включенным - это позволит распространить правила фильтра как в одну сторону пересылки пакетов, так и в обратную с теми же параметрами. Нажимаем Далее.

Теперь необходимо указать адрес источника IP-пакетов. Как видно на картинке, возможность выбора адреса довольно широка. Сейчас мы укажем Мой IP-адрес и нажимаем Далее. В следующем окне задаем адрес назначения. Выбираем Любой IP-адрес, нажимаем Далее. Теперь следует указать тип протокола. Выберите из списка TCP. Идем дальше - задаем номера портов.

Верхний переключатель оставляем в положении Пакеты из любого порта, а нижним включаем режим Пакеты на этот порт и в поле вводим значение HTTP-порта - 80. Нажимаем Готово, закрывая мастер. В нижнем окне списка появится наш новоиспеченный фильтр. Теперь еще раз нажимаем кнопку Добавить и проделываем все предыдущие операции еще раз, но уже указав значение порта 443 (для HTTPS). В списке нижнего окна должны находиться оба созданных правила фильтрации пакетов.

Нажимаем кнопку ОК. Фильтр наш готов, но необходимо теперь определить действия, которые он будет производить. Переключаемся на закладку Управление действиями фильтра и нажимаем кнопку Добавить. Снова откроется диалог мастера, нажимаем Далее. Указываем имя, например Block, идем дальше. В качестве действия выбираем переключатель Блокировать, нажимаем Далее и Готово. Фильтр создан, действие для него определено, нам осталось лишь создать политику и назначить ее. В окне консоли MMC щелкаем правой кнопкой мыши узел Политики безопасности IP и выбираем команду

Создать политику безопасности IP. В открывшемся окне мастера нажимаем Далее, затем указываем имя для политики, например, Block Web, нажимаем Далее. Снимаем флажок Использовать правило по умолчанию, щелкаем Далее и Готово. В окне свойств политики нажимаем кнопку Добавить.

Нажимаем Далее, оставляем переключатель в положении Это правило не определяет туннель, идем дальше. Тип сети - указываем Все сетевые подключения, нажимаем Далее. Теперь необходимо выбрать фильтр из списка.

Выбираем созданный нами фильтр HTTP, HTTPS (слева должна появится точка в кружке), щелкаем кнопку Далее. Таким же образом выбираем действие для фильтра - Block, щелкаем Далее и Готово. Теперь в правой панели консоли MMC появится созданная политика с именем BlockWeb.

Все, что осталось сделать - назначить ее. Для этого выполняем правый щелчок мышью на названии и выбираем команду Назначить. Для проверки осталось запустить браузер. Если все было сделано правильно, картина должна быть такой:

Задача №2 - добавляем разрешенные зоны

В следующем примере мы добавим фильтр, который будет разрешать подключения к некоторым узлам Интернет. Например, мы позволим браузеру просмотр узла www.compression.ru. Для этого в нашей консоли MMC дважды щелкаем название политики BlockWeb. В окне свойств нажимаем кнопку Добавить, затем двойным щелчком выберем фильтр HTTP, HTTPS. На вкладке Список фильтров нажимаем кнопку Добавить. Указываем имя для нового фильтра, например, compression.ru, жмем Добавить, Далее, в качестве источника пакетов оставляем Мой IP-адрес, щелкаем кнопку Далее. В качестве адреса назначения выберем строку Определенное DNS-имя, а в поле Имя узла введем www.compression.ru. Нажимаем Далее.

Появится предупреждение о том, что в фильтре вместо DNS-имени www.compression.ru будет использован IP-адрес 212.192.248.55. Соглашаемся, нажав кнопку Да, затем указываем тип протокола - TCP, выбираем переключатель На этот порт и указываем его номер - 80. Жмем Далее, Готово и ОК. Теперь определяем действие фильтра - переходим на одноименную закладку и выбираем параметр Разрешить.

Теперь фильтр состоит из двух фильтров - один запрещает весь http-трафик, другой разрешает соединения с определенным IP-адресом. Все это выглядит примерно так:

Этот пример также и показывает одно из существенных отличий между применением «нормального» межсетевого экрана и фильтрации с помощью IPSec: использование IPSec не позволяет задать порядок следования или приоритет фильтра. Впрочем, работать он все равно будет. Осталось закрыть все диалоговые окна и проверить это.

Теперь, при переходе на www.compression.ru (и только него!) браузер должен отобразить содержание этого узла. Обратим внимание, что ресурсы, расположенные на другом хосте (например, рекламные баннеры), не отображаются - они также фильтруются примененной политикой IPSec.

Подобным же образом вы можете создать собственные необходимые фильтры и применить их.

Перенос настроек на несколько машин

Как видим, настройка фильтрации IP-пакетов на локальной машине несложна и не требует много времени. Ну, а если необходимо настроить фильтры на большом количестве машин? В этом случае можно использовать два варианта применения политик IPSec.

Экспортирование политик IPSec

Созданную и настроенную политику можно переносить с одной машины на другую, используя механизмы экспорта/импорта политик. Для этого на компьютере, где находится нужная политика, открываем консоль MMC (Пуск - Выполнить - mmc), добавляем оснастку Управление политикой безопасности IP на локальном компьютере. Щелкаем правой кнопкой мыши узел Политики безопасности IP и выбираем последовательно команды Все задачи - Экспортировать политики. Далее выбираем место, где будет сохранен файл, и указываем его имя и нажимаем кнопку Сохранить. Для удобства можно поместить файл политик в папку, к которой разрешен общий доступ в сети. Однако, в этом случае, если для проверки подлинности использовалась текстовая строка, она может быть прочитана злоумышленником, если он получит доступ к этому файлу. Поэтому не следует постоянно хранить такие файлы на общедоступных ресурсах.

После экспорта файла политики, на компьютерах, к которым нужно применить сохраненную политику, нужно произвести те же самые действия за одним исключением - выбрать команду Импортировать политики и указать расположение файла. Затем, щелкнуть правой кнопкой мыши на названии импортированной политики в правом окне консоли, и командой Назначить ее применить.

 

 


 

А также другие работы, которые могут Вас заинтересовать

80458. Закріплення знань про звук (дз), буквосполучення дз 34 KB
  Мета. Закріплення вміння читати склади,слова і текст з буквосполученням «дз», вміння робити звуко-буквенний аналіз слів. Розвивати мовленнєві навички,словниковий запас, пам’ять,увагу. Виховувати бережливе ставлення до природи,любов до птахів.
80459. WE ARE AT HOME 60 KB
  It is Sunday today. Mrs. Black usually gets up at 8 o’clock and does the cooking breakfast. Kate does the washing up after breakfast. Then Mr. Black and Kate go shopping. They have a dog. Kate walks the dog every day but she never feeds it. Father does it.
80460. Смаки і захоплення 188 KB
  Смаки і захоплення. Вчити учнів розкривати позитивний образ Я; відрізняти здорові і шкідливі захоплення; показати різноманітність смаків і захоплень учнів класу; виховувати здоровий спосіб життя. Повідомлення теми і завдань уроку Кожна людина – це неповторна особистість у якої свої погляди смаки і захоплення.
80461. Множення й ділення круглих чисел 200 KB
  Сучасні підходи до вивчення математики в початковій школі передбачають розвиток уваги спостережливості образного і логічного мислення формують особисті якості дитини: зібраність організованість здатність швидко та якісно приймати рішення доводити і відстоювати свою думку.
80462. Різноманітність тваринного світу. Інтегрований урок (природознавство, математика, трудове навчання) 299.5 KB
  Учити розрізняти групи тварин: хребетні безхребетні; формувати вміння визначити істотні ознаки тварин. Закріплювати знання нумерації багатоцифрових чисел: читати записувати представляти число у вигляді суми розрядних доданків; удосконалювати обчислювальні навички вміння розв’язувати задачі та знаходження...
80463. Київ – столиця України 49 KB
  Мета. Поглиблювати інтерес до історії рідного краю, знайомити дітей з витоками історії українського народу. Формувати знання про Київську Русь, місто Київ, його заснування. Познайомити дітей з визначними місцями столиці. Розвивати вміння фантазувати; прогностичне мислення.
80464. Колір як засіб передавання характеру образу 58.5 KB
  Продовжити знайомити учнів із виражальними можливостями кольорів; учити правильно добирати кольори і створювати засобами кольору певний за характером образ; розвивати фантазію уміння орієнтуватись в мікропросторі зорове сприймання уміння добирати кольори для передавання настрою емоцій...
80465. Тяжко тому жити, хто не хоче робити. Л. Глібов «Коник-стрибунець» 134.5 KB
  Мета: поглибити знання учнів про особливості байок закріпити знання поняття байка байкар розширити знання учнів про життя та творчість Л.Глібова малюнки коника мурашки картки Друкар; дитячі книги з творами Л.Глібова Коник-стрибунець мультиплікаційний фільм аудіо відеоматеріали.
80466. Будь обережним на кризі. Письмовий переказ тексту за складеним планом 43.5 KB
  Мета: вдосконалювати вміння учнів переказувати текст, а також письмово відтворювати зміст прочитаного; збагачувати мовлення учнів новими словами й образними висловами; розширити уявлення про небезпеку, що очікує на льоду, виховувати розуміння необхідності дотримуватись правил безпеки взимку...