Por lo general, un túnel entre un enrutador de 6to4 y un enrutador de relé de 6to4 es inseguro. El siguiente tipo de problemas de seguridad es inherente a dicho túnel:
Aunque los enrutadores de reenvío 6to4 encapsulan y desencapsulan paquetes, no comprueban los datos que contienen los paquetes.
El falseamiento de direcciones es un problema grave de los túneles a enrutadores de reenvío 6to4. Para el tráfico entrante, el enrutador 6to4 no puede comparar la dirección IPv4 del enrutador de reenvío con la dirección IPv6 del origen. Por lo tanto, la dirección del host IPv6 puede falsearse fácilmente. La dirección del enrutador de reenvío 6to4 también puede falsearse.
De manera predeterminada, no existe ningún mecanismo de confianza entre enrutadores 6to4 y enrutadores de reenvío 6to4. Por lo tanto, un enrutador 6to4 no puede identificar si el enrutador de reenvío 6to4 es de confianza, ni siquiera puede determinar si es un enrutador de reenvío 6to4 legítimo. Debe existir una relación de confianza entre el sitio 6to4 y el destino IPv6. De lo contrario, ambos sitios quedan abiertos a posibles ataques.
Estos problemas y otros problemas de seguridad que son inherentes a los enrutadores de reenvío 6to4 se explican en RFC 3964, Security Considerations for 6to4. Consulte también RFC 6343, Advisory Guidelines for 6to4 Deployment para obtener información actualizada sobre el uso de 6to4.
En general, sólo es recomendable activar la admisión de enrutadores de reenvío 6to4 en los siguientes casos:
Pretende comunicarse con una red privada IPv6 de confianza desde su ubicación 6to4. Por ejemplo, puede activar la admisión de enrutadores 6to4 en una red universitaria que consiste en ubicaciones 6to4 aisladas e IPv6 nativas.
Su ubicación 6to4 tiene motivos importantes de negocios para comunicarse con ciertos hosts IPv6 nativos.
Ha implementado comprobaciones y modelos de confianza sugeridos en Security Considerations for 6to4 and Advisory Guidelines for 6to4 Deployment..