Mit der Öffnung des Asterisk für eingehende Gespräche über SIP geht zwangsweise die Erstellung eines passwortlosen Gast-Accounts einher - aber auch die grundsätzliche Öffnung der SIP Ports.

Es soll vorkommen, dass interne SIP Telefone unsichere Benutzernamen oder Passwörter nutzen - beispielsweise könnte das Telefon mit der Durchwahl 1000 aus Gründen der Einfachheit das SIP Passwort x1000 haben.

Nach der Öffnung der SIP Ports für externe Teilnehmer wäre das fatal, da nach einfachem Erraten der Benutzernamen und Passwörter auf Kosten des Asterisk Betreibers beliebige Telefonate geführt werden könnten.

Als einfachste Schutz-Möglichkeit bietet sich eine IP-Sperre an. Dabei wird Clients aus fremden Netzwerken die Registrierung verweigert:

[1000]
type=friend
username=1000
secret=x1000
context=internerkontext
deny=0.0.0.0/0.0.0.0                   ; Keine IP-Adresse darf sich registrieren...
permit=192.168.0.0/255.255.255.0       ; ... bis auf Geräte im Bereich 192.168.0.1-192.168.0.254
...

Weiterführende Informationen zu den IP Adress-Sperren finden sich auf voip-info.org.

Falls sich SIP Clients auch von extern anmelden sollen, hilft vor allem die Verwendung ausreichend komplexer Passwörter gegen möglichen Missbrauch, evtl. in Kombination mit einer Accountsperre bei falsch eingegebenem Passwort. Denkbar wäre ausserdem eine individuelle Passwortabfrage vor teuren Gesprächen.