voliuf.narod.ru

Приложение С.

Таблица C.1. Предлагаемые разрешения каталогов для Windows 2000 и IIS
Каталог или файл	Предлагаемые максимальные разрешения
C:\	Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
files	Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
IO.SYS, MSDOS.SYS	нет.
BOOT.INI, NTDETECT.COM, NTLDR	нет.
AUTOEXEC.BAT, CONFIG.SYS	нет.
C:\TEMP	Аутентифицированные пользователи: (RWXD)*(NotSpec).
C:\WINNT	Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
files	Аутентифицированные пользователи: чтение Операторы сервера: изменение.
Netlogon.chg	нет.
\WINNT\config\	Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
\WINNT\help\	Установщики: изменение Аутентифицированные пользователи: добавление и чтение Операторы сервера: изменение.
.GID, .FTG, *.FTS	Аутентифицированные пользователи
\WINNT\inf\	Установщики: изменение Аутентифицированные пользователи: чтение.
файлы *.ADM	Аутентифицированные пользователи: чтение.
*.PNF	Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение
\WINNT\media\	Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
*.RMI	Аутентифицированные пользователи: изменение.
\WINNT\profiles\	Установщики: добавление и чтение Аутентифицированные пользователи: (RWX)*(NotSpec).
..\All users	Установщики: изменение Аутентифицированные пользователи: чтение.
..\Default	Аутентифицированные пользователи: чтение.
\WINNT\repair	нет.
\WINNT\system\	Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
WINNT\System32\	Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
files	Аутентифицированные пользователи: чтение Операторы сервера: изменение.
$winnt$.inf	Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
AUTOEXEC.NT, CONFIG.NT	Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
cmos.ram, midimap.cfg	Аутентифицированные пользователи: изменение.
localmon.dll, decpsmon,, hpmon.	Установщики: изменение Аутентифицированные пользователи: чтение Операторы сервера: изменение.
\WINNT\System32\config\	Аутентифицированные пользователи: просмотр.
\WINNT\System32\drivers\ (включая \etc)	Аутентифицированные пользователи: чтение.
\WINNT\System32\viewers	Аутентифицированные пользователи: чтение Операторы сервера: изменение.
C:\...\.EXE, .BAT, .COM, .CMD, *.DLL	Аутентифицированные пользователи: X.
Домашний каталог IIS	Администраторы содержимого сайта: чтение и запись Аутентифицированные пользователи: чтение.

Таблица C.2. Параметры локальной политики безопасности
Право пользователя	Описание
Доступ к данному компьютеру из сети	Определяет пользователей и группы, которым разрешено подключаться к компьютеру через сеть. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. Группами по умолчанию, у которых есть это право на каждой платформе, являются следующие: рабочие станции и серверы; администраторы; операторы резервного копирования; опытные пользователи; пользователи; все; контроллеры домена; аутентифицированные пользователи.
Работа в качестве части операционной системы	Позволяет процессу аутентифицироваться, как и любой пользователь, и получать доступ к ресурсам, к которым имеют доступ все пользователи. Эта привилегия нужна только службам аутентификации низкого уровня. Потенциальный доступ не ограничивается тем, что связано с пользователем по умолчанию, так как вызывающий процесс может запросить дополнительный случайный доступ, помещаемый в атрибуты доступа. Более того, вызывающий процесс может создать анонимный набор атрибутов доступа для предоставления любого вида доступа. В дополнение к этому атрибуты анонимного доступа не обеспечивают указание принадлежности при отслеживании событий в журнале аудита. Процессы должны использовать учетную запись LocalSystem, в которой уже есть эта привилегия, а не отдельную учетную запись с присвоенной привилегией. По умолчанию только учетная запись LocalSystem имеет привилегию работы в качестве части операционной системы.
Резервные файлы и каталоги	Определяет пользователей, которые могут игнорировать разрешения файлов и каталогов в целях резервного копирования данных системы. Действие этой привилегии аналогично предоставлению пользователю или группе следующих разрешений для всех файлов и папок системы: проход по папкам/выполнение файла; просмотр папки/чтение данных; чтение атрибутов; чтение расширенных атрибутов; чтение разрешений. Это право определяется в политике группы контроллера домена по умолчанию, а также в локальной политике безопасности рабочих станций и серверов. Группами по умолчанию, у которых есть это право на каждой платформе, являются: рабочие станции и серверы; администраторы; операторы резервного копирования; контроллеры домена.
Игнорирование запрета на проход по каталогам	Определяет пользователей, которые могут осуществлять проход по деревьям каталогов, даже не имея разрешений на соответствующую директорию. Эта привилегия не позволяет пользователю просматривать содержимое папки, а лишь разрешает проход по каталогам. Это право определяется в политике группы контроллера домена по умолчанию, а также в локальной политике безопасности рабочих станций и серверов. Группами по умолчанию, у которых есть это право на каждой платформе, являются: рабочие станции и серверы; администраторы; операторы резервного копирования; опытные пользователи; пользователи; все; контроллеры домена; аутентифицированные пользователи.
Изменение системного времени	Определяет пользователей и группы, которые могут изменять время и дату на внутренних часах компьютера. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию это право имеют следующие группы: рабочие станции и серверы; администраторы; опытные пользователи; контроллеры домена; операторы сервера.
Создание файла подкачки	Определяет пользователей и группы, которые могут создавать и изменять размер файла подкачки. Размер файла подкачки для данного диска указывается в параметрах производительности в окне свойств системы. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию возможность создания файлов подкачки имеется у администраторов.
Создание маркера доступа	Определяет учетные записи, которые используются процессом NtCreateToken() (или другим API) при создании маркера доступа к любым локальным ресурсам. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. Рекомендуется использовать учетную запись LocalSystem, которая уже содержит эту привилегию, вместо отдельной учетной записи со специально присвоенной привилегией.
Отладка программ	Определяет пользователей, которые могут применять отладчик к любому процессу. Эта привилегия обеспечивает широкие возможности доступа к важным компонентам операционной системы. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию привилегии отладки программ есть только у администраторов и учетных записей LocalSystem.
Отказ в доступе к данному компьютеру из сети	Определяет пользователей, которым запрещен доступ к компьютеру через сеть. Этот параметр превосходит по значимости параметр политики Access This Computer From The Network (Открыть доступ к этому компьютеру через сеть), если учетная запись пользователя является субъектом обеих политик. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию только учетная запись LocalSystem имеет привилегию использования процессами для генерирования аудита безопасности.
Отказ во входе в систему как пакетному заданию	Определяет учетные записи, которым запрещен вход в систему при помощи пакетного задания. Этот параметр превосходит по значимости параметр политики Log On As A Batch Job (Вход при помощи пакетного задания), если учетная запись пользователя является субъектом обеих политик. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию нет пользователей, которым запрещен вход в систему с помощью пакетного задания.
Отказ во входе в систему как службе	Определяет учетные записи служб, которым запрещено регистрировать процесс как службу. Этот параметр превосходит по значимости параметр политики Log On As A Sevice (Вход в систему в качестве службы), если учетная запись является субъектом обеих политик. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию учетным записям не запрещен вход в систему в качестве службы.
Отказ в локальном доступе	Определяет пользователей, которым запрещен вход в систему на компьютере. Этот параметр превосходит по значимости параметр политики Log On Locally (Локальный вход в систему), если учетная запись является субъектом обеих политик. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию учетным записям не запрещен локальный вход в систему.
Включение доверия учетных записей Computer (Компьютер) и User (Пользователь)	Определяет пользователей, которые могут устанавливать параметр Trusted for Delegation (Доверие для делегирования). Пользователь или объект, наделенный этой привилегией, должен иметь право записи контрольных флагов учетной записи для пользователя или компьютера. Выполняющийся на компьютере процесс, доверенный для передачи, осуществляет доступ к ресурсам другого компьютера с использованием переданных входных данных клиента, пока в учетной записи клиента не установлен набор контрольных флагов Account cannot be delegated account (Учетная запись не может быть делегированной учетной записью). Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере это право по умолчанию имеется у следующих групп: рабочие станции и серверы; нет; контроллеры домена; администраторы. Нецелевое использование этой привилегии или параметра Trusted For Delegation (Доверие для делегирования) делает сеть уязвимой для комплексных атак с использованием программ типа "троянский конь", выдающих себя за входящих клиентов и использующих их входные данные для получения доступа к сетевым ресурсам.
Принудительное отключение с удаленной системы	Определяет пользователям, которым разрешено отключать удаленный компьютер сети. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере это право по умолчанию имеется у следующих групп: рабочие станции и серверы; администраторы; контроллеры домена; операторы сервера.
Генерирование аудитов безопасности	Определяет учетные записи, которые используются процессом для добавления записей в журнал безопасности, чтобы отслеживать несанкционированный доступ к системе. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию только учетная запись LocalSystem имеет привилегию использования процессами для генерирования аудита безопасности.
Увеличение квот	Определяет учетные записи, которые используют процесс с правом записи свойств по отношению к другому процессу для увеличения квоты процессорного времени, присвоенной другому процессу. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере это право по умолчанию имеется у следующих групп: рабочие станции и серверы; администраторы; контроллеры домена. Эта привилегия полезна при настройке системы, однако ее можно использовать для реализации атаки на отказ в обслуживании.
Увеличение приоритета планирования	Определяет учетные записи, которые используют процесс с правом записи свойств по отношению к другому процессу для увеличения приоритета выполнения, присвоенного другому процессу. Пользователь с этой привилегией может изменить приоритет планирования процесса через пользовательский интерфейс Task Manager (Диспетчер задач). Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере это право по умолчанию имеется у следующих групп: рабочие станции и серверы; администраторы; контроллеры домена.
Загрузка и выгрузка драйверов устройств	Определяет пользователей, которые могут динамически загружать и выгружать драйверы устройств. Эта привилегия необходима для установки драйверов устройств Plug and Play. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере это право по умолчанию имеется у следующих групп: рабочие станции и серверы; администраторы; контроллеры домена.
Блокировка страниц в памяти	Эта привилегия является устаревшей и, следовательно, никогда не проверяется. Она определяет учетные записи, которые могут использовать процесс для хранения данных в физической памяти с предотвращением их записи в виртуальную память на диске. Использование этой привилегии значительно снижает производительность системы.
Вход в систему в качестве пакетного задания	Позволяет пользователю входить в систему с помощью очереди пакетного задания. Например, когда пользователь подтверждает задание через планировщик, планировщик задач осуществляет вход пользователя в систему как пакетного пользователя, а не интерактивного. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию только учетная запись LocalSystem имеет привилегию входа в систему в качестве пакетного задания. (См. политику "Отказ во входе в систему как пакетному заданию".) В первой версии Windows 2000 планировщик задач автоматически предоставляет это право при необходимости.
Вход в систему в качестве службы	Определяет учетные записи служб, которые могут регистрировать процесс в качестве службы. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию ни одна учетная запись не имеет привилегии входа в систему в качестве службы.
Локальный вход в систему	Определяет пользователи, которые могут входить в систему локально. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию этим правом на каждом компьютере обладают следующие группы: рабочие станции и серверы; администраторы; операторы резервного копирования; опытные пользователи; пользователи; гость; контроллеры домена; операторы учетных записей; операторы печати. Для локального входа пользователя в контроллер домена ему нужно предоставить это право в политике группы контроллера домена по умолчанию.
Управление аудитом и журналом безопасности	Определяет пользователей, которые могут указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и ключ реестра. Для этого пользователь может воспользоваться вкладкой Security (Безопасность) окна Properties (Свойства) редактора набора разрешений безопасности для указания параметров аудита выбранного объекта. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию только администраторы имеют привилегию управления аудитом и журналом безопасности. Эта политика не позволяет пользователю включать общий аудит доступа к файлам и объектам. Для включения общего аудита необходимо настроить параметр Audit object access (Аудит доступа к объектам) в окне Audit Policies (Политики аудита).
Профилирование отдельного процесса	Определяет пользователи, которые могут использовать средства мониторинга производительности Windows NT и Windows 2000 для отслеживания производительности несистемных процессов. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию только администраторы и учетные записи LocalSystem имеют привилегию профилирования отдельного несистемного процесса.
Профилирование производительности системы	Определяет пользователи, которые могут использовать средства мониторинга производительности Windows NT и Windows 2000 для отслеживания производительности системных процессов. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию только администраторы и учетные записи LocalSystem имеют привилегию профилирования отдельного несистемного процесса.
Отсоединение компьютера из модуля подключения	Определяет пользователей, которые могут отсоединять переносной компьютер от модуля подключения. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На серверах и рабочих станциях группы Администраторы, Опытные пользователи и Пользователи имеют это право на компьютерах с изначально установленной операционной системой Windows 2000 (не обновленной до Windows 2000). Если операционная система обновлена с Windows NT до Windows 2000, то это право в отдельном порядке предоставляется соответствующей группе или пользователю.
Замена маркера доступа уровня процесса	Определяет учетные записи, которые могут инициировать процесс для замены маркера доступа по умолчанию, ассоциированного с запущенным подпроцессом. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию этой привилегией обладают только учетные записи LocalSystem.
Восстановление файлов и директорий	Определяет пользователи, которые могут игнорировать разрешения файлов и каталогов при восстановлении зарезервированных файлов и каталогов, а также пользователей, которые устанавливаются в качестве владельцев объекта. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере эти правом по умолчанию обладают следующие группы: рабочие станции и серверы; администраторы; операторы резервного копирования; контроллеры домена; операторы сервера.
Отключение системы	Определяет пользователей, локально вошедших в систему компьютера, которые могут отключать операционную систему с помощью команды Shut Down (Отключить). Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере этим правом обладают по умолчанию следующие группы: рабочие станции и серверы; администраторы; операторы резервного копирования; опытные пользователи; пользователи; контроллеры домена; операторы учетных записей; операторы сервера; операторы печати.
Синхронизация данных службы каталогов	Этот параметр не используется в первом релизе Windows 2000.
Владение файлами и каталогами	Определяет пользователей, которые могут владеть любыми защищаемыми объектами в системе, включая объекты Active Directory, файлы и папки, принтеры, ключи реестра, процессы и нити. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию только администраторы обладают привилегией владения файлами или другими объектами.

Номера протоколов фильтрации пакетов

Windows 2000 ограничивает возможность фильтрации пакетов отдельно для каждого адаптера, используя номер порта, тип протокола или их комбинации. Эта функция настраивается в окне Network and Dial-up Connections \TCP/IP Properties\Advanced\Options\TCP/IP filtering (Сеть и удаленный доступ\Свойства TCP/IP\ Дополнительно\Параметры\Фильтр TCP/IP) для адаптера, на котором нужно осуществлять фильтрацию.

Использование одной этой возможности обеспечивает очень слабую защиту, в которой Windows 2000 выступает в роли маршрутизатора между двумя подсетями интранет. Помимо хорошо известных протоколов TCP и UDP существует широкий диапазон других протоколов интернета, для которые можно выполнять фильтрацию (см. табл. C.3). В этой таблице протоколы обозначены десятичными номерами, взятыми из IETF Ipv4, Request for Comments (RFC) 791I.

Таблица C.3. Номера протоколов интернета
Десятичный номер	Ключевое слово	Протокол
0	HOPORT	Опция Hop-by-Hop IPv6.
1	ICMP	Контроль сообщений в интернете.
2	IGMP	Управление группами в интернете.
3	GGP	Gateway-to-Gateway.
4	IP	IP в IP (Инкапсуляция).
5	ST	Stream.
6	TCP	Контроль передачи.
7	CBT	CBT.
8	EGP	Внешний шлюзовой протокол.
9	IGP	Любой частный внутренний шлюз (используется в системах Cisco для IGRP).
10	BBN-RCC-MON	Мониторинг BBN RCC.
11	NVP-II	Голосовой протокол сети.
12	PUP	PUP.
13	ARGUS	ARGUS.
14	EMCON	EMCON.
15	XNET	Отладчик Cross Net.
16	CHAOS	Chaos.
17	UDP	Дейтаграмма пользователя.
18	MUX	Мультиплексирование.
19	DCN-MEAS	Подсистемы исчисления DCN.
20	HMP	Мониторинг узлов.
21	PRM	Packet Radio Measurement.
22	XNS-IDP	XEROX NS IDP.
23	TRUNK-1	Trunk-1.
24	TRUNK-2	Trunk-2.
25	LEAF-1	Leaf-1.
26	LEAF-2	Leaf-2.
27	RDP	Протокол надежных данных.
28	IRTP	Надежная транзакция интернета.
29	ISO-TP4	Транспортный протокол ISO класс 4.
30	NETBLT	Протокол передачи массовых данных.
31	MFE-NSP	Протокол сетевых служб MFE.
32	MERIT-INP	Внутриузловой протокол MERIT.
33	SEP	Протокол последовательного обмена.
34	3PC	Протокол подключения третьей стороны.
35	IDPR	Протокол маршрутизации междоменной политики.
36	XTP	XTP.
37	DDP	Протокол доставки дейтаграммы.
38	IDPR-CMTP	Протокол передачи контрольного сообщения IDPR.
39	TP++	Транспортный протокол TP++.
40	IL	Транспортный протокол IL.
41	IPv6	Ipv6.
42	SDRP	Протокол маршрутизации запросов источника.
43	IPv6-Route	Заголовок маршрутизации для IPv6.
44	IPv6-Frag	Фрагментный заголовок для IPv6.
45	IDRP	Междоменный протокол маршрутизации.
46	RSVP	Протокол резервирования.
47	GRE	Общая инкапсуляция маршрутизации.
48	MHRP	Mobile Host Routing Protocol.
49	BNA	BNA.
50	ESP	Encap Security Payload для IPv6.
51	AH	Заголовок аутентификации для IPv6.
52	I-NLSP	Integrated Net Layer Security TUBA.
53	SWIPE	IP с шифрованием.
54	NARP	NBMA Address Resolution Protocol.
55	MOBILE	Мобильность IP.
56	TLSP	Протокол безопасности транспортного уровня (используется управление ключами Kryptonet).
57	SKIP	SKIP.
58	IPv6-ICMP	ICMP для IPv6.
59	IPv6-NoNxt	No Next Header для IPv6.
60	IPv6-Opts	Параметры пункта назначения для IPv6.
61		Любой внутренний протокол узла.
62	CFTP	CFTP.
63		Любая локальная сеть.
64	SAT-EXPAK	SATNET и Backroom EXPAK.
65	KRYPTOLAN	Kryptolan.
66	RVD	Протокол MIT удаленного виртуального диска.
67	IPPC	Internet Pluribus Packet Core.
68		Любая распределенная файловая система.
69	SAT-MON	Мониторинг SATNET.
70	VISA	Протокол VISA.
71	IPCV	Утилита Internet Packet Core.
72	CPNX	Copmuter Protocol Network Executive.
73	CPHB	Computer Protocol Heart Beat.
74	WSN	Wang Span Network.
75	PVP	Протокол пакетного видео.
76	BR-SAT-MON	Backroom SATNET Monitoring.
77	SUN-ND	SUN ND PROTOCOL - временный.
78	WB-MON	WIDEBAND-мониторинг.
79	WB-EXPAK	WIDEBAND EXPAK.
80	ISO-IP	Протокол интернета ISO.
81	VMTP	VMTP.
82	SECURE-VMTP	SECURE-VMTP.
83	VINES	VINES.
84	TTP	TTP.
85	NSFNET-IGP	NSFNET-IGP.
86	DGP	Disssimilar Gateway Protocol.
87	TCF	TCF.
88	EIGRP	EIGRP.
89	OSPFIGP	OSPFIGP.
90	Sprite-RPC	Sprite RPC Protocol.
91	LARP	Locus Address Resolution Protocol.
92	MTP	Multicast Transport Protocol.
93	AX.25	Кадры AX.25.
94	IPIP	Протокол инкапсуляции "IP в IP".
95	MICP	Протокол Mobile Internetworking Control.
96	SCC-SP	Протокол Semaphore Security Communications.
97	ETHERIP	Инкапсуляция "Ethernet в IP".
98	ENCAP	Заголовок инкапсуляции.
99		Частные схемы шифрования.
100	GMTP	GMTP.
101	IFMP	Ipsilon Flow Management Protocol.
102	PNNI	PNNI через IP.
103	PIM	Независимое от протокола широкое вещание.
104	ARIS	ARIS.
105	SCPS	SCPS.
106	QNX	QNX.
107	A/N	Активные сети.
108	IPComp	Протокол сжатия полезной нагрузки IP.
109	SNP	Протокол сетей Sitara.
110	Compaq-Peer Compaq Peer Protocol
111	IPX-in-IP	IPX в IP.
112	VRRP	Протокол избыточности виртуального маршрутизатора.
113	PGM	Протокол надежной передачи PGM.
114		Любой 0-hop-протокол.
115	L2TP	Протокол туннелирования второго уровня.
116	DDX	Обмен данными D-II (DDX).
117	IATP	Протокол передачи интерактивного агента.
118	STP	Протокол запланированной передачи.
119	SRP	Радио-протокол SpectraLink.
120	UTI	UTI.
121	SMP	Протокол простых сообщений.
122	SM	SM.
123	PTP	Протокол прозрачности производительности.
124	ISIS через IPv4
125	FIRE
126	CRT	Транспортный протокол Combat Radio.
127	CRUDP	Дейтаграмма пользователя Combat Radio.
128	SSCOPMCE
129	IPLT
130	SPS	Щит безопасности пакетов.
131	PIPE	Секретная IP-инкапсуляция внутри IP.
132	SCTP	Протокол передачи управления потоком.
133	FC	Оптоволоконный канал.
134-254	Не присвоены
255		Зарезервирован.

Авторы: М. Кобб, М. Джост источник: http://www.INTUIT.ru