Das Problem mit einem offenen und dem Internet ausgesetzten Port besteht darin, dass ein Programm an diesem Port auf Nachrichten wartet. Wenn die eintreffenden Nachrichten fehlerhaft sind (durch die Regeln des Programms, das das Abhören durchführt), sollte die Anforderung abgelehnt und der Port geschlossen werden. Wenn das anhörende Programm jedoch Schwachstellen aufweist, kann der Angreifer möglicherweise Meldungen erstellen, die nicht abgelehnt, sondern als gültig akzeptiert werden, die jedoch nicht das tun, was Sie möchten.
Zum Beispiel Ihren AFP-Port - welche Nachrichten können an ihn gesendet werden und was können sie tun? Benötigt es zur Authentifizierung einen Benutzernamen und ein Passwort? Wenn ja, können Sie einigermaßen sicher sein, wenn alle Benutzernamen und Kennwörter, die verwendet werden könnten, sicher sind. Wenn kein Benutzername und kein Kennwort erforderlich ist oder einfache Bypässe für einen Gastbenutzer oder ähnliches vorhanden sind, lassen Sie Außenstehende in Ihr System ein und können (unabhängig von Fehlern in den AFP-Programmen) alles tun, was das Protokoll zulässt. Kennen Sie alle möglichen Vorgänge, die über AFP angefordert werden können? Wirklich alle oder nur die dokumentierten? Sind sie alle sicher? Stört es Sie, dass jemand Ihre ... privaten Daten sehen kann?
Wenn AFP eine Authentifizierung erfordert und Sie sicher sind, dass die Authentifizierung sicher ist, unabhängig davon, was darauf gerichtet ist. Wenn also nur jemand Ihre Benutzernamen und die entsprechenden Kennwörter kennt, können Sie den mutmaßlichen Angreifer schwerer machen um es zu bekommen - vielleicht, wenn Sie Glück haben, stört es sie nicht. Aber sie können sich die Mühe machen. Wenn Sie den Port nicht dauerhaft geöffnet haben müssen, lassen Sie ihn nicht geöffnet. Es verringert die Chancen, dass ein böswilliger Angriff erfolgreich sein kann. (Die sicherste Software ist die Software, die nicht installiert ist; die nächst sicherste Software ist die Software, die nicht ausgeführt werden kann.)