IPsec är inte längre ett krav och har inte varit det på flera år. Vilket är logiskt eftersom det finns fler sätt att kryptera trafik, t.ex TLS.
IPv6 har flera säkerhetsproblem. De flesta av dem är relaterade till Neighbor Discovery (ARP) och Router Advertisements där all möjlig spoofing och manipulering kan göra att enheter tilldelas IPv6-addresses i ett annat subnät eller inte tilldelas någon address alls. Trafik kan också styras genom en attackers dator, likt ARP poisoning i IPv4. Dessa tekniker kräver dock att den som attackerar är fysiskt ansluten till ditt lokala nätverk. (Jag borde nämna att IPv4 också har dessa problem, IPv4 är inte felfritt)
Ett annat säkerhetsproblem i början av IPv6 var att SLAAC genererade en IPv6-address baserat på din dators MAC-address, vilket gör att host-delen av din ipv6-adress är densamma oavsett vilket nätverk du ansluter till. Detta gör att när du flyttar mellan nätverk kan du fortsatt spåras då host-delen av din address aldrig ändras. Du kan också spåras under väldigt lång tid då din MAC-address aldrig ändras, och då kommer din IP-address inte heller att göra det.
För att lösa detta har de flesta operativsystem implementerat en "privacy" extension där en temporär random hostaddress istället genereras. Detta medför dock sina egna problem då varje temporär address har en viss livstid, och när livstiden tar slut genereras en ny address. Hur gör man då med existerande sessioner? Ska du kastas ur ett online-game bara för att din dator byter IPv6-address? Ska sessionen få leva vidare men att din dator nu har flera möjliga addresser den kan använda? Alla dessa lösningar skapar nya problem. DHCPv6 är en lösning då adressen som tilldeles inte är baseras på din MAC-address.
Andra säkerhetsproblem med IPv6 är extension headers, som tyvärr mest verkar skapa fler problem än de är tänkt att lösa. Genom att slänga in en extension header på oväntade ställen i paketet kan man få en router eller brandvägg att ignorera dessa fält vilket tillåter olika attacker, t.ex DDoS attacker som styr trafik till ett visst mål. Om en router eller brandvägg också måste kolla igenom alla fält så måste de lägga mycket tid och resurser på detta, så dessa enheter kan enklare överbelastas om de måste tvingas kolla igenom alla extension headers innan de kan skicka vidare ett paket. Man kan säga till sin brandvägg att blockera alla paket som har extension headers då det minskar risken för attacker, men det bryter också mot IPv6 standarden som ändå har en tanke kring hur extension headers kan göra nytta.
Den största fördelen med IPv6 är att vi kan bygga bort NAT på riktigt då vi nu har adresser så det räcker för en otroligt lång tid framöver. Utan NAT blir nätverket mindre komplicerat och vi kan enkelt styra trafik mellan användare. Det kommer fortfarande behövas brandväggar som förhindrar oönskad trafik, men det är inget nytt.
Detta blev en lång post. Jag menade inte att det du skrev var fel på något sätt, men det triggade något hos mig där jag kände att mer information kunde vara användbart. Det har funnits många tankar om hur man ska göra IPv6 bättre än IPv4, och dessa har som följd att många funktioner har godkänts som kanske inte blev riktigt som man hade tänkt. Många kockar osv...
