Problemas de acesso ao e-mail usando “Outlook” (2020/07/09)

Recentemente o fornecedor dos certificados digitais (Digicert) que usávamos nos serviços de email (e outros) informou ter detetado internamente um erro na emissão dos mesmos e indicando que estes seriam revogados (invalidados) no dia 11 de Julho. (ver: Comunicado Digicert)

Procedemos à emissão de novos certificados junto do novo fornecedor (SECTIGO) e à aplicação nos diferentes sistemas afetados, processo que não é igual em todos os sistemas e exige a dedicação de cerca de 15 minutos no mais simples dos casos, mas nos complicados pode exigir várias horas até se acertar devidamente a parametrização.

No sistema de email testamos no servidor de “backup” a aplicação das alterações de certificados que também exigiram atualização do componente “OpenSSL”, confirmamos no validador “SSL Labs” e em diversas aplicações cliente de e-mail que consideramos representativas dos usados pela comunidade Outlook 2016, Outlook2013, Thunderbird 68, Apple Mail e Roundcube (Webmail) e em todos a interoperação decorreu sem problemas identificados.

Ao final da tarde de dia 9, a parametrização foi replicada para os restantes servidores do sistema de e-mail e novamente confirmou-se o correto funcionamento.

Posteriormente foram recebidos diversos relatos de problemas no acesso ao e-mail por diversos utilizadores.

Após a análise do problema com a colaboração dos serviços de informática locais à ESTeSL e ESELx concluiu-se que o problema ocorre no Outlook 2010 e Outlook 2013/Outlook 2016 quando estes não têm as atualizações de segurança aplicada.

Como mitigação para o problema foram temporariamente reativada, até final do mês, as opções de baixa segurança (atualmente não recomendadas pelas boas práticas) para permitir reestabelecer o acesso dos utilizadores ao serviço.

Solicitamos à comunidade que para o bem funcionamento do sistema e segurança das nossas comunicações, que realizem as atualizações pendentes que resolverão este e outros problemas de funcionamento dos softwares (Outlook 2013 e Outlook 2016) ou em alternativa substituam a atual aplicação de correio por Thunderbird (software gratuito similar a Outlook), versão recente de Outlook ou outro moderno.

No final do mês teremos de elevar a segurança das comunicações ao nível do recomendado pelo que até lá agradecíamos que fosse realizado o esforço de correção das limitações nas aplicações cliente.

Obrigado.

Atualização de software em equipamentos de rede COM (1/7/2020)

Face à necessidade de atualização de software em diversos equipamentos de rede existentes nas instalações do Centro Operacional de Marvila (COM/Campus ISEL), iremos realizar a manutenção destes equipamentos no período compreendido entre as 12:30 e as 14:00 do dia 1 de Julho (quarta-feira).

Estando a quase totalidade destes equipamentos montados sob uma estrutura de redundância, serão de esperar apenas falhas curtas de poucos segundos, no pior dos casos estima-se que de 1 a 2 minutos por cada equipamento que seja reiniciado.

 

Manutenção à base de dados de validação de utilizadores (25/06/2020 6~8h)

Durante a madrugada de dia 25 (quinta-feira), entre as 6h e as 8h prevemos realizar a atualização geral do servidor que alberga entre outros registos, a informação que suporta os processos de validação de utilizadores no acesso a serviços como o IdP (Moodle, Portal Académico, Zoom, etc.) e RADIUS (VPN, WiFi eduroam, etc.).

Durante o intervalo temporal referido prevê-se a ocorrência de falhas nos serviços relacionados, em períodos de até 30 minutos.

Lamentamos os transtornos eventualmente causados.

Falha parcial de serviços (18/06/2020 14:50-15:00)

Tendo como origem a avaria ocorrida à dias na unidade de alimentação ininterrupta que serve o polo técnico do campus de Benfica (COB), uma ação de inspeção do quadro elétrico no local despoletou uma situação que a UPS não conseguir mitigar e provocou o corte de energia aos equipamentos existentes no local com consequente falha na conectividade e serviços suportados pelo local.

As nossas desculpas pelo incómodo causado.

Manutenção com possível falha de serviços, sexta-feira, dia 8

Encontra-se prevista para a manhã de dia 8 de Maio (sexta-feira), a realização de trabalhos de manutenção ao posto de transformação de energia elétrica que alimenta a Escola Superior de Educação (ESELx) e anexos.

Estando um dos nossos (DSIC) polos operacionais localizados num edifício servido por este equipamento, será de esperar risco de impacto nos serviços disponibilizados quer ao campus quer a toda a restante comunidade seja nos restantes polos do IPL, seja os que estão a realizar acesso remoto a recursos que dependam das infraestruturas afetadas.

Realizamos nos últimos dias uma significativa relocalização de todos os recursos (servidores) suportados por virtualização com a transferência de alguns para servidores existentes na Escola Superior de Tecnologias da Saúde (ESTeSL) e outros para o polo operacional localizado no campus do Instituto Superior de Engenharia de Lisboa (ISEL).

Alguns serviços pela dependência de recursos locais de hardware ou conectividade não poderão ser relocalizados e serão provavelmente interrompidos durante algum tempo.

Estimamos que se o período de falha de fornecimento de energia for inferior a 30 minutos, a unidade de alimentação ininterrupta (UPS) existente no local possa suportar os recursos ativos sem que ocorra qualquer falha.

Ocorrendo o esgotamento da UPS os serviços que prevemos sejam afetados serão:

  • Conectividade ESCS, ESML, ESELx, SAS, GRIMA, FAIPL, COB, Segurança do campus – Ficará inoperacional
  • Conectividade SP, ESTeSL e ESTC – Ficará sem ligação alternativa caso a principal falhe.
  • Rede sem fios “eduroam” – Falha de serviço em todos os campus do IPL, exceto ISEL que é servido por outro equipamento.
  • Acesso remoto a VPNs Intra, BON, MGMT, NET100 e SIBS – Alguns completamente inoperacionais, outros funcionarão a 50% da capacidade com falhas nas ligações.
  • Sistema de resolução de nomes DNS – O acesso a todos os serviços ficará lento sempre que o pedido for realizado ao servidor existente no local, podendo ocorrer falhas na entrega de mensagens de email.
  • Sistema de atribuição de endereçamento de rede DHCP  – Algumas máquinas nas redes internas poderão perder conectividade
  • Conectividade principal de IPv6 – O serviço ficará parcialmente inoperacional.
  • Conectividade secundária IPv4 – Ficaremos sem “backup” caso a ligação principal à Internet falhar.
  • Autenticação no acesso à computadores pessoais (AD.IPL.PT) – O acesso a estes serviços ficará mais lento por este não responder, podendo ocorrer falhas em alguns acessos.
  • Backups – Não será realizada a salvaguarda de ficheiros que depende dos servidores de armazenamento lá localizados.

Segurança da Videoconferência Colibri/Zoom

Para esclarecimento da comunidade, o nosso entendimento sobre a questão muito colocada nas últimas semanas …

A maioria dos problemas de segurança revelados sobre a plataforma Colibri/Zoom estão relacionados com a forma como é usada e de como estão selecionadas diversas opções de controlo dos participantes na sessão, nomeadamente com a permissão de partilha de ecrã por todos os participantes ou o acesso à sessão com um simples link sem palavra-chave de sessão ou sala de espera.

Outro problema mais facilmente explorável permitia que na janela de “chat” se enviassem links que quando abertos pelos participantes poderia levar o seus sistemas a revelarem palavras-chave (do acesso local do Windows) a sistemas terceiros. Este problema já foi resolvido há cerca de uma semana pela Zoom com a distribuição de nova versão do software.

Outro problema que consideramos menos critico, apesar de preocupante, é o facto de a cifra de dados usada nas comunicações ser, segundo dizem, bastante fraca e não baseada em algoritmos conhecidos e de segurança comprovada, mas existe a informação que a Zoom estará a preparar nova versão que resolve o problema mencionado.

Quando ao problema mais recente que foi noticiado, relativo à existência de repositórios com dados de utilizadores obtidos por “hackers”, tal referir-se-à a utilizadores com conta local na Zoom (não é conhecida a fonte da informação, como foi esta obtida). A comunidade académica nacional (incluindo o IPL), obtém privilégios na plataforma via um sistema de “single-sign-on” (IdP) em que o site da Zoom redireciona para um nosso, o nosso valida o utilizador e só fornece à Zoom a informação de que o utilizador é legitimo, o endereço de email e nome para identificação deste bem como um atributo de “papel na instituição” que indica se é docente, não docente ou aluno para que possam realizar diferenciação do serviço (ex. permitindo sessões mais longas ou com mais participantes).

Os participantes que acedam sem “login”, apenas com o link e palavra-chave fornecida pelos promotores da sessão (professores), ainda fornecem menos informação à plataforma.
Apesar da visibilidade estar neste momento no Zoom, pelo sucesso que estão a ter, com muitos a procurar falhas neste, temos em querer que as soluções concorrentes poderão ter problemas semelhantes, apenas não foram ainda explorados por serem plataformas que estão de momento a ter menor visibilidade.

Sendo a solução oficial promovida pela FCT/FCCN e financiada pelo MCTES, é a solução que recomendamos e sobre a qual continuamos a dar suporte.
Continuaremos atentos às questões de segurança diretamente relacionadas com a plataforma Zoom, e interviremos caso se confirme algum risco imediato para a nossa comunidade de utilizadores, ou sejam recebidas outras orientações superiores.

Cumprimentos.

Licenciamento das sessões Colibri

Para disponibilidade máxima e eficiência na utilização do licenciamento do serviço Colibri/ZOOM adquirido pela FCCN/FCT, o sistema realiza um processo de reciclagem que recupera licenças atribuídas e fora de uso. (aspetos fora do controlo do DSIC/IPL)

Se não forem seguidas algumas regras a sessão pode não ter o adequado licenciamento e será interrompida ao fim de 40 minutos ou limitada em número de utilizadores.

Segue a melhor estratégia identificada, contributo da experiência de diversos docentes para se conseguir realizar as sessões com os privilégios adequados.

Na página de perfil de utilizador Colibri deve verificar se o seu acesso é considerado como: User Type: Licensed
Se estiver indicado como User Type: Basic não deve iniciar a aula, pois esta será limitada a 40 minutos.
Aconselhamos que 10 a 15 minutos antes da hora da aula, realize Logout e volte a fazer Login/Profile para garantir a atribuição do licenciamento (poderá ter sido reciclado durante a inatividade).
Confirme que se encontra agora como User Type: Licensed no perfil de utilizador apresentado e assim a aula não será interrompida aos 40 minutos.

Note que, em picos de utilização do sistema, poderá ocorrer o esgotamento total do licenciamento contratado e não se conseguir obter licença,  até que uma sessão em curso seja encerrada.

Melhoramentos na integração Google Apps for Education

Após terem sido há algumas semanas disponibilizadas à comunidade IPL as Google Apps for Education em regime experimental.

Foram realizados ajustes no sistema de correio eletrónico para flexibilização da receção de mensagens relativas a eventos das aplicações “na Cloud”, nomeadamente os alertas de calendário.

Note-se que o problema ocorre porque as “Google Apps” assumem que têm o controlo completo sobre as contas de correio associadas ao acesso ao serviço e como tal enviam as mensagens com remetentes .ipl.pt que do lado do sistema do IPL são consideradas contas locais e assim sendo todas as provenientes do exterior com estes remetentes seriam à partida mensagens maliciosas (tipicamente SPAM).

 

Atualização de sistemas Moodle

Motivados pelo súbito incremento da dependência nas plataformas Moodle para a comunicação entre docentes e alunos e pelo facto dos sistemas existentes se encontrarem algo desatualizados no software e sistema operativo de suporte; ocorrendo significativa lentidão em diversos períodos do dia.

Realizámos entre os dias 25 e 27 uma significativa remodelação do sistema com a utilização de um sistema operativo moderno e atualizado (Debian 10), utilizando diversas técnicas para suporte de elevado desempenho e maiores garantias de independência entre instâncias em períodos de picos de carga numa delas, evitando degradação de desempenho nas restantes.

Durante o processo foram identificados alguns pormenores de parametrização que atrasavam (ou até impediam) em alguns casos o envio de email pelos sistemas, situação que foi resolvida em todos os casos identificados.

O acesso por parte da comunidade continuará a realizar-se como até agora, sem necessidade de alteração de procedimentos ou endereços de acesso, ocorrendo redirecionamentos automáticos quando necessário.

O acesso base à plataforma faz-se em: https://moodle.ipl.pt/

A identificação no acesso a todas as instâncias, exceto ISEL, faz-se utilizando o endereço de email institucional e a respetiva palavra-chave, os mesmos atualmente usados no acesso ao portal académico, rede sem fios eduroam, VPNs, Vídeo-conferência Colibri, Office365, GoogleApps, etc.

O Moodle e portal académico do ISEL utilizam credenciais distintas no acesso.

No âmbito desta manutenção foram intervencionadas as instâncias SSO, ESD, ESML, ISCAL, ESCS e ESTeSL

Devido à incompatibilidade de alguns componentes em uso no Moodle da ESELx, a manutenção realizada foi reduzida, permanecendo em funcionamento no servidor antigo até que essas dependências se encontrem ultrapassadas.

Agradece-se o envio de informações acerca de anomalias imprevistas identificadas nestes sistemas para os nossos contactos de suporte.

COVID19 – Funcionamento do DSIC (IPLNet)

Estamos a realizar o nosso melhor esforço no sentido de flexibilizar procedimentos e prestar apoio à comunidade no âmbito da nossa área de atuação, na criação e suporte de redes e sistemas de apoio ao funcionamento das escolas e serviços do Politécnico de Lisboa.

Para acesso aos serviços que disponibilizamos direta ou indiretamente é necessário possuir uma conta de nome terminado em .ipl.pt

  • Se é aluno do ISEL poderá realizar a ativação da conta IPL a partir da validação da conta local ISEL ou em alternativa realizar procedimento igual ao dos alunos das restantes escolas.
  • Se é aluno de outra escola do IPL, poderemos fornecer-lhe a senha de ativação da conta por email caso realize o pedido de suporte a partir da caixa de correio que indicou como de email pessoal no portal académico ou nos envie o pedido anexando um “PDF” digitalmente assinado com o cartão de cidadão (ou chave móvel digital).
  • Se é docente ou funcionário não docente e não possui conta ou perdeu acesso à mesma, contacte os serviços de informática locais à sua escola/serviço e se não tal resultar envie pedido para o nosso atendimento (contactos abaixo)

No contacto de suporte com os nossos serviços, para tratamento mais expedito indique de entre abaixo todos os dados disponíveis:

  • Explique o problema (exemplo: Consigo consultar o email através do Webmail Roundcube mas dá erro ao enviar).
  • Em que situações ocorre o problema (exemplo: O problema só ocorre se estiver a usar o browser “Internet Explorer”).
  • Qual o erro retornado pelo sistema – indique o texto da mensagem obtida ou uma captura de ecrâ da mesma.
  • Quando ocorre (ou ocorreu), informe o dia e hora aproximada.
  • Onde estava ligado à rede quando o problema ocorreu (exemplo: Estava ligado à rede de casa através de rede sem fios).
  • Qual o seu endereço de email institucional (caso nos contacte de outro).
  • Qual o serviço/escola do IPL em que é aluno ou funcionário.
  • Qual o seu número de aluno (ou número mecanográfico de funcionário).
  • Indique um telefone de contacto para usarmos caso consideremos vantajoso o contacto direto para a resolução.

Asseguramos que todos os dados fornecidos (alguns pessoais) serão usados exclusivamente no âmbito do suporte de serviços de rede.

Não deverá usar qualquer serviço de rede do IPL se discordar da TCU do IPL

O contacto preferencial a usar é o email helpdesk@net.ipl.pt

Em alternativa, se a situação é de maior prioridade use o telefone 210464700

  • Só atendemos chamadas em horário de expediente e existindo disponibilidade para tal. (mais de metade da equipa do DSIC está em regime de teletrabalho)