взлом.. или ненайденная мной уязвимость

в sip.conf в [general] у нас указано:

context=sip-incoming            ; Default context for incoming calls

вот в контексте sip-incoming разрешаем звонки только на внутренние номера.

а для нужных пиров уже указываем "полноценные" контексты, например:

[office-phone](!)
type=friend
context=office
host=dynamic
disallow=all
allow=alaw
deny=0.0.0.0/0.0.0.0
permit=10.0.0.0/255.0.0.0

[int201](office-phone)
secret=xxxxx

[int202](office-phone)
secret=yyyyy

ну и в экстеншенах что-то вроде:

[office-mini]
exten => _2XX,n,dial(sip/int${EXTEN})
exten => _2XX,n,Busy(10)
exten => _2XX,n,hangup()

[sip-incoming]
exten => s,1,answer()
exten => s,n,wait(1)
exten => s,n,resetcdr()
exten => s,n,background(dial-exten-tone)
exten => s,n,WaitExten(15)
exten => s,n,Dial(sip/int201)
exten => s,n,hangup()

include => office-mini


[office]
include => office-mini

exten => _7XXXXXXXXXX,1,......
.......

то есть из экстншна office можно звонить и на внутренние, и на внешние номера, из sip-incoming - только на внутренние.
ну и плюс нечисловые логины на внутренние номера (чтобы усложнить подбор), плюс по возможности ограничение по ip, плюс нормальные пароли, плюс fail2ban - всё это в сумме даёт некоторую защиту.