Un túnel entre un enrutador 6to4 y un enrutador de reenvío 6to4 es inseguro en sí mismo. Un túnel de este tipo siempre tendrá los siguientes problemas de seguridad:
Aunque los enrutadores de reenvío 6to4 encapsulan y desencapsulan paquetes, no comprueban los datos que contienen los paquetes.
El falseamiento de direcciones es un problema grave de los túneles a enrutadores de reenvío 6to4. Para el tráfico entrante, el enrutador 6to4 no puede comparar la dirección IPv4 del enrutador de reenvío con la dirección IPv6 del origen. Por lo tanto, la dirección del host IPv6 puede falsearse fácilmente. La dirección del enrutador de reenvío 6to4 también puede falsearse.
De manera predeterminada, no existe ningún mecanismo de confianza entre enrutadores 6to4 y enrutadores de reenvío 6to4. Por lo tanto, un enrutador 6to4 no puede identificar si el enrutador de reenvío 6to4 es de confianza, ni siquiera puede determinar si es un enrutador de reenvío 6to4 legítimo. Debe existir una relación de confianza entre el sitio 6to4 y el destino IPv6, o ambos sitios quedan abiertos a posibles ataques.
Estos problemas y otras cuestiones de seguridad de los enrutadores de reenvío 6to4 se explican en el documento Security Considerations for 6to4. En general, sólo es recomendable activar la admisión de enrutadores de reenvío 6to4 en los siguientes casos:
Pretende comunicarse con una red privada IPv6 de confianza desde su ubicación 6to4. Por ejemplo, puede activar la admisión de enrutadores 6to4 en una red universitaria que consiste en ubicaciones 6to4 aisladas e IPv6 nativas.
Su ubicación 6to4 tiene motivos importantes de negocios para comunicarse con ciertos hosts IPv6 nativos.
Ha realizado las comprobaciones y modelos de confianza sugeridos en el documento de Internet Security Considerations for 6to4.