Eine Firewall für IPv4 filtert keinen IPv6-Verkehr. Und IPv6 ist nicht einfach nur ein IPv4 mit anderen Adressen. Die Erfahrungen aus der IPv4-Welt lassen sich nur bedingt auf IPv6 übertragen. Der Schutz eines LANs durch eine Firewall bedarf für IPv6 völlig neuer Regeln, die bei IPv4 bisher nicht notwendig waren.
- Umgehen der Filterregeln durch den kreativen Einsatz von Extension Header.
- IPv6-Datagramme mit vorgetäuschter Absender-Adresse aus dem internen Netz.
- Beliebige ICMPv6-Pakete
- Fluten der NDP-Table
- Überlasten der Firewall per TCP-Flooding
Es muss nicht immer zwangsläufig das Umgehen der Firewall sein. Einem Angreifer kann es schon genügen, wenn die Firewall überlastet wird und somit die Verbindung zum Internet gestört ist.