El subsistema de Windows para Linux 2 pasa por alto el firewall de Windows 10
El subsistema de Windows para Linux 2 evitará el firewall de Windows 10 y cualquier regla configurada, lo que genera preocupaciones de seguridad para quienes usan la función.
En una publicación de blog de hoy, Mullvad VPN explicó que su producto incluye una opción "Requerir siempre VPN" que bloquea el acceso a Internet a través del Firewall de Windows a menos que esté conectado a la VPN.
Después de que Mullvad recibió una pista de un usuario, se determinó que las distribuciones de WSL2 Linux omiten el firewall de Windows 10 y sus reglas configuradas y evitan que funcione la función de seguridad "Siempre requerir VPN" de la VPN.
WSL 2 omite el firewall de Windows
Topo Estados que han probado este problema con múltiples productos VPN y el problema existe en todos ellos.
El problema es que esto no tiene nada que ver con el software VPN y es simplemente cómo se desarrolló el subsistema de Windows para Linux 2.
La primera versión del subsistema de Windows para Linux (WSL 1) utiliza un kernel compatible con Linux que traduce el sistema Linux en llamadas que funcionan con el kernel de Windows NT.
Cuando se usa WSL 1, el tráfico de red se filtra a través del Firewall avanzado de Windows (WAF) y la distribución de Linux respeta las reglas configuradas.
Con el lanzamiento de WSL 2, Microsoft introdujo un verdadero kernel de Linux que opera en una máquina virtual Hyper-V con una tarjeta de red virtual Hyper-V.
A diferencia de WSL 1, el tráfico de WSL 2 se envía a la conexión correcta, ya sea su tarjeta LAN Ethernet o VPN, pero omite por completo el Firewall de Windows.
Por ejemplo, creé una regla de Firewall de Windows que bloquea todo el tráfico saliente en el puerto 80 (HTTP) y 443 (HTTPS), los puertos predeterminados al conectarse a sitios web.
Cuando está habilitada, esta regla bloquea todas las conexiones salientes a sitios web de distribuciones de Linux de Windows 10 y WSL 1.
Por otro lado, cuando probé desde una distribución de Ubuntu WSL 2, no tuve problemas para conectarme a Google.com, ya que omitió el filtro de Firewall de Windows.
Para asegurarme de que esto no fuera una configuración extraña de mi parte, muchas otras personas ayudaron a BleepignComputer a probar el bypass y confirmaron que también les estaba sucediendo.
¿Cual es el problema?
La principal preocupación de que WSL 2 omita el firewall de Windows es que nadie lo sabe.
Si viene de WSL 1, esperaría que sus conexiones salientes de las distribuciones de WSL Linux se filtraran a través del Firewall de Windows, ya que este es un comportamiento normal.
Sin embargo, una vez que actualiza a WSL 2, ya no respeta la configuración del firewall y la seguridad que depende de él ya no funciona.
Dado que las distribuciones de WSL 2 pueden admitir una amplia gama de aplicaciones de Linux, incluidas las implementaciones de servidor como Docker, tiene sentido que se lo vea como un sistema operativo independiente que no depende del Firewall de Windows.
Sin embargo, los usuarios deben tener en cuenta que se ignorarán las reglas de Firewall de Windows configuradas.
La buena noticia es que WSL 2 admite implementaciones de firewall de Linux como iptables que puede controlar el tráfico de la red.
Por ejemplo, después de instalar iptables, puede usar el siguiente comando para bloquear las conexiones a los puertos 80 y 443.
sudo iptables -A OUTPUT -p tcp --match multiport --dports 80,443 -j DROPUna vez que esta regla está habilitada, intentar conectarse a un sitio web desde la distribución WSL 2 Linux ya no funciona.
El subsistema de Windows para Linux versión 2 (WSL 2) es mucho más poderoso que la primera versión, pero viene con consideraciones de seguridad que los usuarios deben conocer.
Suponga que confía en el Firewall de Windows para controlar las comunicaciones de red. Si es así, debe prestar especial atención a cómo configura sus implementaciones de WSL 2 para poder replicar la seguridad de Windows configurada.
BleepingComputer se puso en contacto con Microsoft con preguntas sobre esta historia, pero no recibió respuesta.
H / T YCombinator Hacker News
Un agradecimiento especial a @CVEandABV, @ 5eanT, @tppetkov, @ sundhaug92 y @IISResetMe por su ayuda para probar las distribuciones de WSL 2 contra Windows Firewall.
Deja una respuesta