De par sa nature, un tunnel reliant un routeur 6to4 à un routeur relais 6to4 ne constitue pas une connexion sécurisée. Voici les types de problèmes de sécurité inhérents à ce genre de tunnel :
Les routeurs relais 6to4 encapsulent et décapsulent des paquets, mais ne vérifient pas leur contenu.
La mystification d'adresses est l'un des problèmes majeurs des tunnels sur routeurs relais 6to4. En effet, lorsque le routeur 6to4 reçoit des données du trafic entrant, il est incapable de faire correspondre l'adresse IPv4 du routeur relais et l'adresse IPv6 de la source. L'adresse de l'hôte IPv6 peut alors être facilement mystifiée. Il en va de même pour l'adresse du routeur relais 6to4.
Par défaut, il n'existe aucun mécanisme de confiance entre les routeurs 6to4 et les routeurs relais 6to4. Un routeur 6to4 ne peut donc pas déterminer si le routeur relais 6to4 est digne de confiance ou s'il est légitime. Il doit exister une relation de confiance entre le site 6to4 et la destination IPv6. Dans le cas contraire, ces deux sites s'exposent à d'éventuelles attaques.
Ces problèmes ainsi que d'autres problèmes de sécurité inhérents aux routeurs relais 6to4 sont expliqués à l'adresse suivante : RFC 3964, Security Considerations for 6to4. Voir également RFC 6343, Advisory Guidelines for 6to4 Deployment pour consulter des informations mises à jour sur l'utilisation du routeur 6to4.
D'une manière générale, n'activez la prise en charge des routeurs relais 6to4 que dans l'un des cas suivants :
Votre site 6to4 tente de communiquer avec un réseau IPv6 de confiance privé. Par exemple, activez la prise en charge du routeur relais 6to4 sur un réseau universitaire constitué de sites 6to4 isolés et de sites IPv6 natifs.
Il est essentiel que votre site 6to4 communique avec certains hôtes IPv6 natifs.
Vous avez implémenté les vérifications et modèles de confiance suggérés dans les publications Security Considerations for 6to4 et Advisory Guidelines for 6to4 Deployment..