Déjame intentarlo respondiendo la intención de tu pregunta. Si la intención de tu pregunta es:
Si descubro puertos abiertos con un escaneo externo, suponiendo que tiene el servicio asociado típico con él, ¿cuál debería ser mi mayor prioridad para investigar y / o abordar?
Permite comenzar con datos reales y en vivo. Aquí hay un enlace al centro de tormentas SANS enlace
Uno de ellos es el tráfico de ataque por puerto. Así que esa es la confirmación en vivo de los hackers que van tras esos puertos / servicios ahora mismo. Yo diría que se debe tomar muy en serio. Notará que el 21/22/23 encabeza la lista.
También cuando se enumera un análisis NMAP, también es bueno observar qué es el host. Asegúrese de marcar el "mejor invitado en OS". Si es claramente una cámara web, diría que es un riesgo mucho mayor que una máquina con Windows 10. Podría no ser así, pero "en libertad" las cámaras Web expuestas a Internet son famosas por ser "propietarias". Los dispositivos multifunción (como una impresora corp) también son famosos por esto.
enlace
Además, ¿qué hay en esta red? Eso afectará esta respuesta también. ¿Es una red doméstica? Si es así, probablemente no debería haber nada expuesto. Normalmente, los dispositivos domésticos actúan como clientes y no requieren que se solicite ninguna conexión entrante. Entonces, en ese caso, ver cualquier puerto abierto es preocupante.
También un puerto muy alto puede ser preocupante, ya que podría ser una puerta trasera. Los piratas informáticos intentarán ocultarlos haciéndolos algo como el puerto 50505, que se vería atrapado con un escaneo de nmap completo, que en su mayoría no se realiza debido a cuánto tiempo lleva. Estos puertos se denominan puertos "efímeros" y pueden ser utilizados por muchos servicios que requieren más de un puerto, como un equilibrador de carga, por ejemplo.