Je regarde meme plus les logs de scans 5060 vu qu'il n'y aucune chance que le hack puisse avoir lieu par la sur mes installs.
Pour les extensions locales , l'authentification n'est de plus autorisée que depuis le subnet local juste au cas ou...Les extensions remotes , seulement de l'ip prevue.

Pour debuter ( on voit souvent le contexte defaut utilisé pour tout...), il est vraiment conseiller de ne pas laisser le port sip ouvert à tous avec un systeme de liste blanche ou meme tout fermer en s'amusant en local.

Mais oui, les logs montre que le port 5060 est de plus en plus scanné. Le changer n'est pas vraiment plus safe, mais au moins limite les probabilités de scans.
Fastm3.