Organisaties die overstappen naar IPv6 lopen extra risico tijdens de overgangsfase waarbij er ook nog van IPv4 gebruik wordt gemaakt, zo waarschuwt de Amerikaanse geheime dienst NSA. Dit komt mede door een gebrek aan ervaring bij systeembeheerders met IPv6, aldus de NSA in een nieuw document met beveiligingsadviezen voor gebruik van het IP-protocol (pdf).

Het is al jaren bekend dat het aantal IPv4-adressen beperkt is en de groei van het aantal "connected devices" niet kan ondersteunen. Toch verloopt de overstap naar IPv6 moeizaam. Zo heeft Nederland volgens cijfers van Google een IPv6-adoptie van nog geen dertien procent. Volgens de NSA zijn de beveiligingsproblemen die bij IPv6 om de hoek komen kijken gelijk aan die van IPv4. "Dat wil zeggen, de beveiligingsmethodes gebruikt bij IPv4 moeten ook worden toegepast bij IPv6, met aanpassingen waar nodig voor de verschillen met IPv6", aldus de Amerikaanse geheime dienst in de nieuwe "IPv6 Security Guidance".

De grootste beveiligingsproblemen gelinkt aan IPv6 zullen zich voordoen in netwerken waar nog geen gebruik van IPv6 wordt gemaakt of zich in de beginfase van de IPv6-transitie bevinden. Deze netwerken hebben nog geen volwassen IPv6-configuraties en netwerksecuritytools. Daarnaast hebben de betreffende systeembeheerders geen ervaring met het IPv6-protocol, zo laat de NSA verder weten.

Een ander probleem waarvoor de geheime dienst waarschuwt zijn "dual stacked" netwerken die IPv4 en IPv6 gelijktijdig draaien, en daardoor met een groter aanvalsoppervlak te maken hebben. Daardoor zijn ook verdere maatregelen vereist om de risico's aan te pakken. "Het beheer van dual stack vergroot de operationele last en het aanvalsoppervlak. Systeemeigenaren en -beheerders zouden beveiligingsmaatregelen voor beide IP-protocollen moeten implementeren om het netwerk te beschermen", aldus de NSA.

De Amerikaans geheime dienst stelt dat de kennis van de systeem- en netwerkbeheerders die een IPv6-implementatie configureren en beheren een grote impact heeft op de algehele veiligheid van het netwerk. "Als gevolg kan de daadwerkelijke veiligheid van een IPv6-implementatie verschillen." De NSA doet ook verschillende aanbevelingen om IPv6-netwerken te implementeren en beveiligen, waaronder het gebruik van split domain name system (Split DNS), automatische tunnels en configuraties, het filteren van IPv6-verkeer en het beschermen van de local link.