Protección de acceso a la RED (NAP)

Slides:



Advertisements
Presentaciones similares
GFI LANguard Network Security Scanner Version 8 .0 !
Advertisements

METODOS DE AUTENTICACIÓN
Mejoras en la gestión de calendarios en Exchange Server 2007
Logon en Windows XP con Tarjetas y Certificados CERES
Herramientas de control de eventos y tareas en Windows Vista
Algunos tips en Seguridad ASP.NET 2.0
Gestión de Políticas de Grupo en Windows Vista y Windows Server 2008
Protección de servidores de correo Exchange 2007 con Forefront para Exchange Iván Castro Gayoso Security Technology Specialist
Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.
Microsoft Windows Server 2008: “Network Access Protection”
APACHE.
Introducción a servidores
Red vpn Mayerli Arismendi Edwin Alvarado María Alejandra acosta
3/29/2017 1:27 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Aplicación informática. formando parte de una red. pone sus recursos a disposición de las demás computadoras(clientes) de la red. Maneja información.
DIRECT ACCESS.
Ing. Horacio Carlos Sagredo Tejerina
Microsoft ITPro Evangelist
Problemas asociados a DHCP. Seguridad.
WINDOWS AZURE CONNECT.
IIS 8 Windows Server 2012 Paulo Dias IT
José Parada Gimeno ITPro Evangelist
José Parada Gimeno ITPro Evangelist David Cervigon Luna ITPro Evangelist
José Parada Gimeno ITPro Evangelist
DYNAMIC ACCESS CONTROL Windows Server Objetivos de la Sesión Entender las capacidades de Dynamic Access Control y File Clasiffication en Server.
César de la Torre – Programas Técnicos para Partners División de Desarrollo y Plataforma – Microsoft Spain.
Publicación de aplicaciones & TSGateway
Windows Vista: User Account Control
Infraestructura de red de Windows Server Lo que cubriremos: NAT (Conversión de direcciones de red), ICS (Compartir conexión a Internet) Firewall.
Implementación de seguridad en aplicaciones y datos
Windows Server 2012 Alberto Marcos González (Plain Concepts)
4/1/2017 7:03 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
José Parada Gimeno ITPro Evangelist
FOREFRONT TMG VPN Juan Luis García Rambla MVP Windows Security
FOREFRONT TMG HTTPS INSPECTION Juan Luis García Rambla MVP Windows Security
PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.
Seguridad de la Información
Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.
FIREWALL.
Implementación y administración de DHCP
Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security
Auditoría de Sistemas y Software
HOL – FOR07. ► VPN define una “Virtual Private Network” o Red Privada Virtual. ► Básicamente una VPN establece una conexión segura a través de un medio.
Principios básicos de routing y switching
Código: HOL-WIN65 Microsoft Windows Server 2008 R2. Network Access Protection.
VPN Red privada virtual.
VPN - Red privada virtual
Existen dos tipos básicos de redes VPN:
LISTAS DE CONTROL DE ACCESO (ACL)
Administrar • Crear • Autoservicio • Auditoría • Workflows
© 2014 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 11: Traducción de direcciones de.
Michael Ángelo De Lancer Franco  DNS: es un protocolo de resolución de nombres para redes TCP/IP, como Internet o la red de una organización.
Servicios y Servidores de Autenticación
Redes Privadas Virtuales
111 © 2002, Cisco Systems, Inc. All rights reserved. Presentation_ID.
CONCEPTOS DE REDES Y PUERTOS MAS CONOCIDOS
Seguridad Wireless > Con NAP de Windows Server 2008 Manuel Moreno L. MCP/CCNA/RHLP Team Insecure.cl
Windows Server 2008 Technical Decision Maker Seguridad.
Michael Ángelo De Lancer Franco Windows Server 2008 dispone de muchas características que mejoran la seguridad y el cumplimiento. Algunas mejoras.
DESARROLLO DE APLICACIONES PARA AMBIENTES DISTRIBUÍDOS ALUMNOS: MARIANA MIGNÓN RÉDING CARLOS ANTONIO CARRASCO MARTÍNEZ PROFESOR: DR. JOSÉ BERNARDO PARRA.
Problemas asociados a DHCP - Seguridad
STARSOFT FACTRON SERVICIO INTEGRAL DE FACTURACION ELECTRONICA
Sistemas de Comunicación Grupal
20411 D - LAB 8 B Preparación para la configuración de Direct Access
Seguridad de Datos Soluciones y Estándares de Seguridad.
Agenda Introducción Problemática del envío de datos Snnifing y Spoofing de Red IPSec IPSec en arquitecturas Windows IPSec con clave compartida IPSec con.
Servicios Web Conjunto de aplicaciones o de tecnologías con capacidad para interoperar en la Web. Estas aplicaciones o tecnologías intercambian datos entre.
La Autenticación IEEE 802.1X en conexiones inalámbricas.
¿QUE ES EL TEAMVIEWER? ES UN SOFTWARE CUYA FUNCIÓN ES CONECTARSE REMOTAMENTE A OTRO EQUIPO. ENTRE SUS FUNCIONES ESTÁN: COMPARTIR Y CONTROLAR ESCRITORIOS,
Transcripción de la presentación:

Protección de acceso a la RED (NAP) José Parada Gimeno ITPro Evangelist jparada@microsoft.com

Agenda Introducción-NPS NAP Fundamentos Arquitectura Interoperabilidad Despliegue Solución de problemas

Los riegos de un mundo conectado Internet Redes Interconectadas Datos Distribuidos Trabajadores Móbiles Extranet de Negocio Acceso Remoto Servicio Web Wireless Dispositivos Móbiles Perimeter Intranet Customers Web Server X Infrastructure Servers Extranet Server Remote Access Gateway Remote Employees

3/29/2017 9:52 PM Que es NPS? “Network Policy Server” es el sucesor del “Internet Authentication Services” (IAS) de versiones previas de Windows Server NPS es la implementación de Microsoft del standar RADIUS y soporta los principales RFC de RADIUS Solo esta disponible en Windows Server 2008 y tienes ventajas significativas frente a IAS, en especial NAP MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Instalación del Role NPS 3/29/2017 9:52 PM Instalación del Role NPS NPS esta disponible como componente del Role de Servicio de Acceso a Red MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Instalación Role NPS Instalación Role DHCP Instalación NPS Instalación Role NPS Instalación Role DHCP

Usos de NPS NPS se puede usar para autenticar diferentes tipos de conexiones incluyendo VPN, 802.1x, wireless 802.1x y servicios de acceso remoto NPS proporciona definición y cumplimiento de políticas pero no es una fuente para autenticación. Cuando una petición de autenticación llega al NPS la comprueba contras su políticas y luego utiliza “Active Directory” para autenticar al usuario o dispositivo

Proceso de Autenticación Simple NPS 3/29/2017 9:52 PM Proceso de Autenticación Simple NPS El usuario solicita acceso al puerto El dispositivo de Red pregunata la usuario por credeciales El Dispositivo reenvia las credenciales y el detalle de la conexión El RADIUS evalua los detalles de la conexión con la política; reenvia las credenciales a AD para la autenticación Si se cumple la política y el usuario es autenticado, se le permite el acceso El dispositivo permite la conexión MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Motor de Políticas Las peticiones se envian a una pila de procesamiento compuesta de varias etapas Cada etapa considera la petición como un parametro de Entrada/Salida Cada etapa devuelve uno de los siguientes valores: Rechazado, Aceptado o desechado Al final de la pila, la petición se transforma en un paquete RADIUS y se envia de vuelta a la red

Procesamiento de Políticas 3/29/2017 9:52 PM Procesamiento de Políticas Las políticas son reglas ordenadas secuencialmente Solo una política aplica a una petición de acceso If: Si el equipo es saludable, permite el acceso total Else: Ve a la siguiente política Politica 1: Saludable If: Si el equipo NO es Saludable, ponla en una red restringida y obliga a que instale las actualizaciones Else: Ve a la siguiente política Politica 2: No Saludable If: Si el equipo tiene nivel bajo, ponlo en una red restringida Else: Ve a la siguiente política Politica 3: Nivel Bajo Por defecto If: No se aplica ninguna otra política, deniega el acceso a red MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

NAP: Acceso basado en políticas Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables” Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud. Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red

Network Access Protection Funcionamiento Servidor de Políticas e.g. Patch, AV 3 DHCP, VPN Switch/Router 1 2 MSFT NPS No Cumple la Política Red Restringida 4 Fix Up Servers e.g. Patch Cliente Windows Cumple la Política El cliente solicita acceso a la red y presenta su estado de salud actual 1 5 Red Corporativa 2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS) 3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT 4 Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4) 5 Si cumple la política al cliente se le permite el acceso total a la red corporativa INF210

Opciones de Forzado Forzado Cliente Saludable Cliente no Saludable DHCP Configuración IP completa. Acceso Total Conjunto de rutas restringido VPN (Microsoft and 3rd Party) Acceso Total VLAN Restringida 802.1X IPsec Puede comunicar con cualquier nodo en que confie Nodos saludables rechazan la conexión de sistemas no Saludables Complementa la protección a nivel 2 Funciona con la infraestructura existente Aislamiento Flexible

Forzado DHCP Configurar NPS Configurar DHCP Configurar Cliente Configurar los Validadores de salud del Sistema Configurar la Política de Salud Configurar las Políticas de Red Configurar DHCP Configurar y habilitar Ámbito para clientes NAP Configurar Clases (Usuario por defecto y NAP) Configurar Cliente Habilitar los servicios de NAPA Habilitar el Cliente de Cuarentena DHCP y el CS

Forzado 802.1X Configurar el Switch 802.1X Configurar NPS Obtener Certificado de equipo Configurar el Cliente RADIUS Configurar la Política de solicitud de Conexión Configurar los Validadores de salud del sistema Configurar la Política de Salud Configurar las Políticas de Red Configurar Cliente Habilitar los servicios de NAPA y WA Habilitar el Cliente de Cuarentena EAP y el CS Configurar los métodos de Autenticación

Forzado IPSec I Configurar DC y CA Crear Grupo de Exentos IPSec Crear y Publicar Plantilla de Certificado Autenticación de Cliente Autenticación de Salud del Sistema Habilitar Auto-enrolamiento del certificados Instalar y configurar una CA Subordinada Instalar y configurar un HRA Permisos de HRA en CA Propiedades de la CA en el HRA

Forzado IPSec II Consulta Guías en www.microsoft.com/nap Configurar NPS Configurar los Validadores de salud del sistema Configurar la Política de Salud Configurar las Políticas de Red Configurar Cliente Habilitar los servicios de NAPA y WA Habilitar el Centro de Seguridad Habilitar el Usuario de confianza IPSec Configurar el HRA como servidor de confianza Consulta Guías en www.microsoft.com/nap

Protección LAN con NAP Aquí las tienes. Servidores de Chequeo de Salud Red Restringida Servidores de Remediación Aquí las tienes. ¿Puedo obtener Actualizaciones? Actualización de políticas al servidor NPS Patch Status AV Status ¿Puedo acceder? Aquí esta mi estado de Salud Solicitando Acceso. Mi estado de salud MS NPS Tienes acceso restringido hasta que te actualices Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Según las políticas, el cliente cumple. Permitir Acceso. ¿Debe este cliente ser restringido basándonos en su estado de salud? Switch 802.1X Se permite el acceso total al Cliente Cliente

Protección Perimetral con NAP Servidores de Chequeo de Salud Servidores de Remediación Actualización de políticas al servidor NPS Aquí las tienes. ¿Puedo obtener Actualizaciones? ¿Debe este cliente ser restringido basándonos en su estado de salud? ¿Puedo acceder? Aquí esta mi estado de Salud MS NPS Cliente Solicitando Acceso. Aquí esta mi nuevo estado de salud Se permite el acceso total a los recursos al Cliente Recurso bloqueado hasta que te actualices Según las políticas, el cliente cumple. Permitir Acceso. Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Remote Access Gateway

Protección del Host con NAP Sin Política Autenticación Opcional Autenticación Requerida ¿Puedo obtener un certificado de Salud? Aqui esta mi estado de Salud ¿Esta el Cliente ok? SI. Emite el certificado de Salud No. Necesita Actualizarse NO obtienes tu certiificado. Actualizate. Aqui tienes el certificado de Salud  HRA X Necesito Actualizaciones. NPS Cliente Accediendo a la REd Aqui las tienes Servidor de Remediación

Configuración Switch D-Link Configuración NAP para 802.1X

Componentes Basicos de NAP Cliente SHA – Agente de salud chequea la salud del sistema QA – Coordina SHA/EC EC – Método de Forzado Servidor de Remedios Proporciona parches, firmas AV , etc… Network Policy Server QS – evalua la salud del cliente SHV – evalua la respuesta SHA System Health Server Proporciona SHV System Health Servers Remediation Servers Updates Health policy Network Access Requests Client Health Statements NPS Policy Server (RADIUS) (SHA) MS SHA, SMS (SHA) 3rd Parties Health Certificate System Health Validator Quarantine Agent (QA) (EC) (DHCP, IPsec, 802.1X, VPN) (EC) 3rd Party EAP VPN’s Quarantine Server (QS) 802.1x Switches Policy Firewalls SSL VPN Gateways Certificate Servers

Servicio de Cuarentena de Cliente Arquitectura 3/29/2017 9:52 PM Servicio de Cuarentena de Cliente Arquitectura La funcionalidad de Enrolamiento de Certificado de salud es responsble de la adquisición y mantenimiento de una representación X509 de una Declaración de Salud (SoH). © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Enrolamiento del certificado de Salud 3/29/2017 9:52 PM Enrolamiento del certificado de Salud © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

802.1X o IPsec = Flexibilidad NAP soporta ambos Cado uno tiene ventajas e inconvenientes Defensa en profundidad integrada en varias capas Acceso rápido a la red para clientes saludables. Autenticación 802.1X; extensiones a PEAP y 802.1X no son requeridos Agnóstico desde el punto de vista de Red, pero los fabricantes pueden innovar y proveer de valor Elección del cliente: habilidad para proteger el acceso a la red, acceso a las aplicaciones en cualquier combinación según necesidades y donde sea apropiado Despliegue combinado según necesidades, riesgos y la infraestructura existente

Configuración Cliente NAP 8021.X Autoremediación Pruebas en Clientes NAP Configuración Cliente NAP 8021.X Autoremediación

Aplicativos de Seguridad Integradores de Sistemas Interoperabilidad Anti-Virus Software de Seguridad Actualizaciones Aplicativos de Seguridad Dispositivos de Red Integradores de Sistemas

Interoperabilidad NAC/NAP Client Partner System Health Agents (SHAs) Switches Routers Cisco ACS MS NPS Partner Policy Server EAPFAST 802.1x or UDP NAP Agent (QA) RADIUS HCAP EAP Host QEC EAP-FAST 802.1x EAPoUDP Escenario Host Credentials Authorization Protocol (HCAP) El Cliente se autentica en la red y envia su Certificado de Salud (SoH), incluyendo los datos opacos del (System Health Agent -SHA) al Cisco Secure Access Control Server (ACS) a través del Switch/Router. ACS envía el SoH al Microsoft Network Policy Server (NPS) vía el protocolo HCAP. El NPS evalúa la salud del cliente en coordinación con los validadores de salud de partners. ACS asigna el acceso a red basado en lo que establece el NPS sobre su estado de salud. El Cliente pasa por el proceso de remediación si lo necesita y se reautentica en el ACS si cambia si estado de salud.

Beneficios de la Interoperabilidad SITO Summit 2005 3/29/2017 9:52 PM Beneficios de la Interoperabilidad Interoperabilidad y elección del cliente: Los clientes pueden elegir entre diferentes componentes, infraestructura y tecnología mientras implementan una única solución coordinadas Protección de la Inversiones: Permite al cliente rehusar o proteger las inversiones de sus despliegues NAC o NAP. Puede empezar desplegando Cisco NAC e integrarlo a posteriori con NAP. Agente único incluido en Windows Vista: Los equipos que ejecuten Windows Vista o Windows Server W2K8 llevan incluido el Agente NAP como parte del sistema operativo que se puede usar para NAP o NAC. Ecosistema de integración para ISV: Las APIs del cliente NAP sirven de interface única de programación para reportar la salud y forzar a NAP y Cisco NAC, simplificando el desarrollo te agentes de salud de terceros y componentes de forzado de salud Agente de despliegue y soporte a actualizaciones: Microsoft distribuirá los módulos de Cisco EAP modules a través de Windows Update / Windows Server Update Services Soporte a otras plataformas: Para soportar otros SO que no sean Windows Microsoft licenciara la tecnología del cliente NAP y las APIs que soportan a NAP y Cisco NAC a desarrolladores de terceros. Benefit Description Interoperability and customer choice Customers can choose both Cisco NAC and Microsoft NAP together Architectural choice and product options that best serve customer needs Support for heterogeneous CTA/NAP agent environments Cisco and Microsoft can offer a combined Network and Posture AAA product based on market and customer demands per cross licensing agreement Investment Protection Enables customer reuse and investment protection of their NAC and/or NAP deployments. Customers can begin deploying NAC today and integrate NAP with their Windows Vista and Windows Server “Longhorn” deployments Single agent included in Windows Vista NAP Agent is part of the core Windows Vista and Windows Server “Longhorn” OS NAP Agent will be used for both NAP and NAC on Windows Vista and Windows Server “Longhorn” Cisco developed EAP FAST / EAPoUDP modules for Windows Vista and Windows Server “Longhorn” CTA and NAP Agent available but not integrated on XP ISV ecosystem Single 3rd party API set for Windows Vista and Windows Server “Longhorn” Cross-platform support Microsoft to license NAP client APIs and protocols to 3rd parties for implementation on non-Windows OS’s Cisco to continue CTA development and support for non-Windows Vista and non-Windows Server “Longhorn” platforms Cisco continuing to submit NAC protocols for standardization through open standards processes Agent deployment and update support Microsoft to distribute Cisco EAP modules through Windows Update/Windows Server Update Services © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Despliegue Planificación de Requerimientos Definir la política de salud requerida Definir los métodos de forzado requeridos Planificar la arquitectura NAP Planificar las excepciones Definir roles y responsabilidades Fases del despliegue Pruebas en Laboratorio Piloto Modo de Reporte Forzado diferido Forzado

Solución de Problemas Fichero Batch simple para recolectar información Ipconfig, Net start, Gpresults, Reg query Netsh nap client show state Netsh nap client show grouppolicy winmgmt /verifyrepository (salvagerepository) WMIC /NAMESPACE:\\root\securitycenter WMIC /NAMESPACE:\\root\ccm certutil -store my wevtutil epl Microsoft-Windows-NetworkAccessProtection/Operational SMS/WindowsUpdate logs SQL IPSec

Recursos Technet NAP Blog Foro Virtual Lab http://www.microsoft.com/nap NAP Blog http://blogs.technet.com/nap/default.aspx Foro http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=576&SiteID=17 Virtual Lab http://www.microsoft.com/downloads/details.aspx?familyid=ac38e5bb-18ce-40cb-8e59-188f7a198897&displaylang=en

Recursos TechNet TechCenter de Windows Server 2008 http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx Próximos webcasts en vivo http://www.microsoft.com/spain/technet/jornadas/default.mspx Webcasts grabados sobre Windows Server http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1 Webcasts grabados otras tecnologías Microsoft http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx Foros técnicos http://forums.microsoft.com/technet-es/default.aspx?siteid=30

Recursos TechNet Registrarse a la newsletter TechNet Flash http://www.microsoft.com/spain/technet/boletines/default.mspx Obtenga una Suscripción TechNet Plus http://technet.microsoft.com/es-es/subscriptions/default.aspx

El Rostro de Windows Server está cambiando. Descúbrelo en www.microsoft.es/rostros

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.