Открытие порта TCP для узла за NAT или брандмауэром позволяет предпринимать попытки незапрошенного подключения к этому узлу из Интернета. Эти попытки подключения затем должны обрабатываться операционной системой этого хоста, которая либо передает соединение приложению, связанному с этим портом, либо, если его нет, отклоняет попытку соединения.
Если это конкретное приложение или версия операционной системы имеет дыру в безопасности, которая позволяет удаленному объекту управлять этой системой через этот открытый порт, в этой системе может быть установлено произвольное программное обеспечение для выполнения злонамеренных действий в сети со всеми неявными доверие, предоставляемое частной системе, включая отправку электронной почты, доступ к базам данных и файловым серверам, просмотр и публикацию на внутренних веб-страницах (таких как веб-страница конфигурации маршрутизатора), а также запись трафика локальной сети и просмотр незашифрованных сетевых данных.
Несмотря на то, что в этом посте не может быть предпринята попытка охватить исчерпывающую широту и глубину потенциальных угроз безопасности, которые могут иметь пробивки в брандмауэре /NAT, каждая отдельная система, к которой можно получить доступ из общедоступного Интернета, увеличивается в значительной степени, шансы сеть скомпрометирована.
Здесь, возможно, в большей степени, чем другие аналогии, безопасность сети настолько сильна, насколько слабее ее звено. Вычислительная система общего назначения, на которой работает потребительское программное обеспечение, является очень слабым звеном, даже по сравнению с самым низким маршрутизатором NAT.