Abrir uma porta TCP para um host atrás de um NAT ou firewall permite que tentativas de conexão não solicitadas sejam feitas a esse host pela Internet. Essas tentativas de conexão precisam ser manipuladas pelo sistema operacional desse host, que passa a conexão para um aplicativo que está vinculado a essa porta ou, se nenhuma, rejeita a tentativa de conexão.
Se esse aplicativo específico ou versão do sistema operacional tiver uma falha de segurança que permita a uma entidade remota assumir o controle desse sistema por meio dessa porta aberta, software arbitrário poderá ser instalado nesse sistema para executar atividades maliciosas na rede com toda a confiança implícita dada ao sistema privado, incluindo envio de email, acesso a bancos de dados e servidores de arquivos, visualização e publicação em páginas da web internas (como a página da web de configuração do roteador), além de registro de tráfego de rede local e visualização de dados de rede não criptografados.
Embora este post não pudesse tentar cobrir a amplitude e a profundidade de potenciais riscos de segurança que um buraco em um firewall / NAT pode ter, cada sistema individual que pode ser alcançado a partir da Internet pública aumenta em um grande grau exponencial. chances de a rede ser comprometida.
Aqui, talvez mais do que outras analogias, a segurança da rede é tão strong quanto seu elo mais fraco. Um sistema de computação de uso geral que executa software de consumidor é um link muito fraco, mesmo comparado ao roteador NAT mais baixo.