<p dir="ltr">Indeed, of course that way works, but I am pretty sure that Kamailio can intercept and give the right response.</p>
<p dir="ltr">Right now what would be needed is to make a complete SIP Notify with the according digest, using the password picked from the database, and send it back. The answer would be a 200 'OK' . </p>
<p dir="ltr">Will keep trying, don't like to leave that back door open at the phones...<br>
</p>
<div class="gmail_quot<blockquote class=" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Mar 13, 2014 at 8:26 AM, Pedro Niņo <span dir="ltr"><<a href="mailto:nino.pedro@gmail.com" target="_blank">nino.pedro@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">The 
other (ugly) option, is to remove the auth from the phone, for the Sip Provisioning, but that 
would leave and open door to a reboot attack without auth needed from 
any IP. And I dont like that option.<br></div></blockquote></div><br></div><div class="gmail_extra">This might not be as bad of an option as you think. If the SPA is behind a stateful firewall then that firewall should allow the NOTIFY from the registrar due to the REGISTER and NAT keep-alive packets opening the firewall, but disallow SIP from any other source. I would recommend verifying that before you deploy it though as I haven't tested it myself.<br>

<br></div><div class="gmail_extra">Corey<br><br></div></div>
<br>_______________________________________________<br>
SIP Express Router (SER) and Kamailio (OpenSER) - sr-users mailing list<br>
<a href="mailto:sr-users@lists.sip-router.org">sr-users@lists.sip-router.org</a><br>
<a href="http://lists.sip-router.org/cgi-bin/mailman/listinfo/sr-users" target="_blank">http://lists.sip-router.org/cgi-bin/mailman/listinfo/sr-users</a><br>
<br></div>