Mode FIPS

Date de la dernière mise à jour : Sep 30, 2025 |

La Federal Information Processing Standard, FIPS 140-3, est une norme de sécurité informatique pour les modules cryptographiques utilisés par le gouvernement américain. Le FIPS 140-3 spécifie l’exigence de sécurité qu’un module cryptographique satisfait pour protéger les données classifiées ou sensibles. Le téléphone comprend un module cryptographique compatible FIPS 140-3 que vous pouvez activer en option. Le téléphone bloque les algorithmes cryptographiques non conformes lorsque vous activez ce mode.

Utilisez le paramètre FIPS_ENABLED pour contrôler l'utilisation des algorithmes cryptographiques FIPS 140-3. Vous pouvez configurer le paramètre par le biais de l'option 46xxsettings.txt, SSON DHCP ou AADS.

Lorsque vous activez le mode FIPS pour la première fois, le téléphone affiche le message Mode FIPS activé, en redémarrant.... Après le redémarrage, le mode FIPS est actif à chaque démarrage du téléphone.

L'activation du mode FIPS ne supprime pas les certificats d'identité précédents installés à l'aide de méthodes non conformes FIPS. Avant d'activer le mode FIPS, supprimez tous les certificats d'identité déjà installés. Pour obtenir de plus amples renseignements, reportez-vous à la section intitulée Paramètres de suppression de plusieurs certificats d'identité.

Lorsque le mode FIPS est activé, le téléphone démarre et effectue un autotest FIPS. Une fois le test terminé avec succès, si l'autotest en mode FIPS échoue, le téléphone affiche le message Échec de l'autotest FIPS et le téléphone affiche les options Admin et Redémarrer. Sélectionnez l'option Admin et entrez le mot de passe du menu Admin pour que le téléphone démarre en mode non FIPS.

Lorsque vous activez le mode FIPS, le téléphone signale le mode de fonctionnement FIPS global sous Menu > Administration > Afficher > Mode FIPS OP comme suit :

  • Conforme : lorsque les fonctions activées fonctionnent en mode compatible FIPS.

  • Non conforme : lorsque certaines fonctions configurées ne fonctionnent pas en mode compatible FIPS.

Remarque :

Vous pouvez afficher les exceptions FIPS sur le téléphone pour obtenir une liste des fonctions configurées qui font que le téléphone n'est pas conforme sous Menu > Administration > Afficher > Exceptions FIPS.

Le tableau ci-dessous décrit les services qui sont ajoutés à la liste des exceptions FIPS par défaut, les conditions d'exploitation lorsqu'ils sont ajoutés et la configuration pour supprimer le service de la liste des exceptions.

Fonctionnalité

Condition à ajouter

Configuration à supprimer

SSH

Toujours, lorsque cette option est activée

Réglez SSH_ALLOWED à 0

WiFi

Toujours, lorsque activé et que la puce WiFi est présente

Réglez WIFISTAT à 0

ou

Retrait de la puce WiFi

Surveillance SLA

Toujours, lorsque cette option est activée

Réglez SLMSTAT à 0

EAP-MD5

Lorsque le protocole EAP MD5 est activé

Réglez DOT1XEAPS à TLS

ou

Réglez DOT1XSTAT à 0

PAE-PAE

Lorsque le protocole EAP PEAP est activé

Réglez DOT1XEAPS à TLS

ou

Réglez DOT1XSTAT à 0

EAP-TTLS

Lorsque EAP TTLS est activé

Réglez DOT1XEAPS à TLS

ou

Réglez DOT1XSTAT à 0

WML

Navigateur WML, lorsque la valeur WMLPROXY est définie avec le transport http ou si WMLPROXY n'est pas défini et :

  • WMLHOME utilise le transport http

  • WMLIDLEURI utilise le transport http

WMLPROXY utilisez https transport ou définissez "" pour désactiver cette fonction

WMLIDLEURL utilisez https transport ou définissez "" pour désactiver cette fonction

WMLHOME utilisez https transport ou définissez "" pour désactiver cette fonction

POUSSER

Avis de réception, lorsque TPSLIST est défini avec le transport http.

TPSLIST utilisez https transport ou définissez "" pour désactiver cette fonction

RSYSLOG

Remote Syslog, lorsqu'il n'est pas configuré de façon sécurisée

Réglez LOGSRVR_SECURE à 1

ou

Réglez SYSLOG_ENABLED à 0

RTP/RTCP

Lorsque vous n'utilisez pas le protocole SRTP

La valeur MEDIAENCRYPTION n'inclut pas 9

HTTP

HTTPSRVR est défini ou BRURI est défini à l'aide du transport http

Réglez AUTH à 1

ou

HTTPSRVR "" (utilisez plutôt TLSSRVR)

BRURI utilisez https transport ou définissez "" pour désactiver cette fonction

HTTP_PPM

En mode Aura uniquement, lorsque CONFIG_SERVER_SECURE_MODE est 0

Réglez CONFIG_SERVER_SECURE_MODE à 1

LDAP

Lorsqu'il est activé et utilise http ou DIRAUTHTYPE = 1 (SASL)

Réglez DIRSECURE à 1 et DIRAUTHTYPE = 0

ou

Réglez DIRENABLED_PLATFORM à 0

WEBSvr

Toujours, lorsque cette option est activée

Réglez ENABLE_WEBSERVER à 0

SIP

Lorsque vous n'utilisez pas SIP-TLS

SIP_CONTROLLER_LIST ne doit inclure que transport=tls

SCEP

Lorsque l'algorithme de chiffrement SCEP est DES ou que l'URL est définie avec http

Réglez SCEPENCALG à 1 et l'URL est définie à l'aide de https

Réglez SCEPENCALG_2 à 1 et l'URL est définie avec https

Réglez SCEPENCALG_3 à 1 et l'URL est définie avec https

ou

Réglez MYCERTURL à ""

Réglez MYCERTURL_2 à ""

Réglez MYCERTURL_3 à ""

PKCS12

Lorsque PKCS12URL est défini avec http transport

PKCS12URL est défini par https

PKCS12URL_2 est défini par https

PKCS12URL_3 est défini par https

ou

Réglez PKCS12URL à ""

Réglez PKCS12URL_2 à ""

Réglez PKCS12URL_3 à ""

TENUE

Lorsque l'URL est définie avec http transport

HELD_URL utilisez https transport ou définissez "" pour désactiver cette fonction

AADS

Lorsque l'URL est définie avec http transport

AADS_URL utilisez https transport ou définissez "" pour désactiver cette fonction

BRDSFT

Lorsque l'URL est définie avec http transport

XSI_URL utilisez https transport ou définissez "" pour désactiver cette fonction

REST

Lorsque l'URL est définie avec http transport

REST_URL utilisez https transport ou définissez "" pour désactiver cette fonction

ÉCHANGER

Lorsque http est utilisé

Réglez EXCHANGE_SERVER_SECURE_MODE à 1
Remarque :

Vous pouvez permettre aux utilisateurs de parcourir le contenu WML en toute sécurité sur HTTPS lors de l'activation du mode FIPS sur le téléphone.

Vous pouvez désactiver ou utiliser des méthodes sécurisées pour configurer les fonctions suivantes afin qu'elles soient compatibles avec le mode de fonctionnement (OP) FIPS :

Fonctionnalité

Paramètre

Le serveur d'approvisionnement doit utiliser HTTPS

Poste TLSSRVR

Le serveur de configuration PPM doit utiliser HTTPS

Réglez CONFIG_SERVER_SECURE_MODE à 1

Le système 802.1x doit utiliser le protocole EAP-TLS

Réglez DOT1XEAPS à TLS

SCEP doit utiliser AES-256

Réglez SCEPENCALG à 1

PKCS12 doit utiliser HTTPS

Poste PKCS12URL

OCSP doit utiliser HTTPS

Réglage OCSP_URI

LDAP doit utiliser TLS

Réglez DIRSECURE à 2

Syslog doit utiliser TLS

Réglez LOGSRVR_SECURE à 1

La fonction Push doit utiliser TLS

Réglez PUSH_MODE à 1

BRURI doit utiliser HTTPS

Réglage BRURI

Le magasin de l'utilisateur doit utiliser HTTPS

Poste USER_STORE_URI

Microsoft Exchange doit utiliser HTTPS

Réglez EXCHANGE_SERVER_SECURE_MODE à 1

Navigateur WML

Réglez WMLIDLEURI à Nul ou HTTPS

Réglez WMLHOME à Nul ou HTTPS

Réglez WMLPROXY à Nul ou HTTPS

Lorsque vous activez le mode FIPS, le téléphone n'utilise pas la fonction SCEP et SCEPENCALG est réglé à 0. La force téléphonique désactive la fonction SCEP.

Si le téléphone installe un certificat d'identité avant que FIPS_ENABLED ne soit réglé à 1, il continue d'utiliser ce certificat d'identité. Avaya recommande de supprimer tous les certificats d'identité précédemment installés et d'installer les certificats d'identité par l'intermédiaire du fichier PKCS#12 une fois que le téléphone est réglé à FIPS_ENABLED 1. Par la suite, les algorithmes cryptographiques approuvés par FIPS 140-3 utilisés pour déchiffrer le fichier PKCS#12.

Related information
Paramètre de mode FIPS
Description du champ VOIR