<div dir="ltr"><div>Using TCP or TLS would avoid open NAT issue, and can cure some naughty SIP ALG issues as well, assuming you want to tolerate the overhead.<br></div><div><br></div><div>For UDP, we've used both Digest and Source request validation with Polycom devices. Source validation is probably the easiest route, assuming the UA doesn't need to receive calls from anyone but its proxy or registrar. Digest (nonce challenge) is better if you want to accept calls from anyone who knows your password, but we had an issue with a softswitch that would properly handle auth channel to INVITE but choked when a BYE was challenged.</div><div><br></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><br></div><div dir="ltr"><br></div><div dir="ltr">Regards,<div><br></div><div><p style="font-family:helvetica,arial,sans-serif;font-size:12px;margin:0px;padding:0px 0px 20px;color:rgb(0,0,0)"><strong>Calvin Ellison</strong><br>Voice Operations Engineer<br><a href="mailto:calvin.ellison@voxox.com" style="text-decoration:none;color:rgb(14,123,174)" target="_blank">calvin.ellison@voxox.com</a><br>+1 (213) 285-0555<br><br>-----------------------------------------------<br><strong><a href="http://www.voxox.com/" style="text-decoration:none;color:rgb(14,123,174)" target="_blank">voxox.com</a> </strong><br>5825 Oberlin Drive, Suite 5<br>San Diego, CA 92121<br></p><img src="http://cdn.voxox.com/img/voxox-logo.png" alt="Voxox" style="color:rgb(0,0,0);font-family:'Times New Roman';font-size:medium"><br></div></div></div></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Wed, Aug 8, 2018 at 10:43 AM, Carlos Alvarez <span dir="ltr"><<a href="mailto:caalvarez@gmail.com" target="_blank">caalvarez@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Do most of you have the phones authenticate incoming calls?  We haven't been, but occasionally find a router that has unfiltered full cone NAT (Cisco) or that puts one phone on 5060 with no filtering by IP.  The result is that the phone will start ringing at random as script kiddies hit the IP and port 5060 trying to find servers to exploit.  I don't see a downside to changing to auth, but not having done it outside of a few tests of a small number of phones, I figured I would ask.<div><br></div></div>
<br>______________________________<wbr>_________________<br>
VoiceOps mailing list<br>
<a href="mailto:VoiceOps@voiceops.org">VoiceOps@voiceops.org</a><br>
<a href="https://puck.nether.net/mailman/listinfo/voiceops" rel="noreferrer" target="_blank">https://puck.nether.net/<wbr>mailman/listinfo/voiceops</a><br>
<br></blockquote></div><br></div>