1
0
O Subsistema Windows para Linux 2 contornará o firewall do Windows 10 e quaisquer regras configuradas, levantando preocupações de segurança para aqueles que usam o recurso.
Em um post no blog hoje, a Mullvad VPN explicou que seu produto inclui uma opção ‘Sempre exija VPN’ que bloqueia o acesso à Internet através do Firewall windows, a menos que esteja conectado à VPN.
Depois que mullvad recebeu uma dica de um usuário, foi determinado que as distribuições WSL2 Linux contornam o firewall do Windows 10 e suas regras configuradas, e impedem que o recurso de segurança ‘Sempre exija VPN’ da VPN.https://cdm.connatix.com/amp-embed/index.html?playerId=ps_067e5169-ece3-4ce8-87ad-c7961b8bb396&mediaId=d59f5d0c-2087-416a-821c-141798bc501e
WSL 2 contorna o firewall do Windows
Mullvad afirma que eles testaram esse problema com vários produtos VPN, e o problema existe em todos eles.
O problema é que isso não tem nada a ver com software VPN e é simplesmente como o Subsistema Windows para Linux 2 foi desenvolvido.
A primeira versão do Windows Subsystem for Linux (WSL 1) usa um kernel compatível com Linux que traduz o sistema Linux em chamadas que funcionam com o kernel do Windows NT.
Ao usar o WSL 1, qualquer tráfego de rede é filtrado através do WAF (Windows Advanced Firewall, firewall avançado do Windows), e o distro do Linux honra quaisquer regras configuradas.
Com o lançamento do WSL 2, a Microsoft introduziu um verdadeiro kernel Linux operando em uma máquina virtual Hyper-V com um adaptador de rede virtual Hyper-V.
Ao contrário do WSL 1, o tráfego WSL 2 é enviado para a conexão correta, seja seu adaptador LAN Ethernet ou VPN, mas ele ignora completamente o Firewall do Windows.
Por exemplo, criei uma regra do Firewall do Windows que bloqueia todo o tráfego de saída para a porta 80 (HTTP) e 443 (HTTPS), as portas padrão ao se conectar a sites da Web.
Quando ativada, essa regra bloqueou todas as conexões de saída para sites das distribuições Linux do Windows 10 e WSL 1.
Por outro lado, quando testei a partir de uma distribuição WSL 2 Ubuntu, não tive problemas em me conectar a Google.com, pois contornava a filtragem do Firewall do Windows.
Para ter certeza de que esta não era uma configuração estranha na minha parte, várias outras pessoas ajudaram o BleepignComputer a testar o bypass, e eles confirmaram que estava acontecendo em seu lado também.
Qual é o problema?
A principal preocupação com o WSL 2 ignorando o Firewall do Windows é que ninguém sabe sobre isso.
Se você está vindo do WSL 1, você esperaria que suas conexões de saída das distribuições WSL Linux fossem filtradas através do Firewall do Windows, pois esse é o comportamento habitual.
Uma vez que você atualiza para wSL 2, no entanto, ele não honra mais a sua configuração de firewall, e qualquer segurança que dependa dele não funciona mais.
Como as distribuições WSL 2 podem suportar uma ampla gama de aplicativos Linux, incluindo implementações de servidores como o Docker, faz sentido ser visto como um sistema operacional independente que não depende do Firewall do Windows.
É necessário, porém, que os usuários saibam que suas regras configuradas do Windows Firewall serão ignoradas.
A boa notícia é que o WSL 2 suporta implementações de firewall Linux, como iptables que podem controlar o tráfego de rede.
Por exemplo, depois de instalar iptables, você pode usar o seguinte comando para bloquear conexões para a porta 80 e 443.
sudo iptables -A OUTPUT -p tcp --match multiport --dports 80,443 -j DROPUma vez que esta regra esteja ativada, tentar se conectar a um site do distro WSL 2 Linux não funciona mais.
O Windows Subsystem para Linux versão 2 (WSL 2) é muito mais poderoso do que a primeira versão, mas com ele vem considerações de segurança que os usuários devem estar cientes.
Suponha que você confie no Firewall do Windows para controlar suas comunicações de rede. Nesse caso, você precisa prestar uma consideração especial sobre como você configura suas distribuições WSL 2 para que você possa replicar sua segurança configurada do Windows.
BleepingComputer entrou em contato com a Microsoft com perguntas relacionadas a esta história, mas não obteve resposta.
FONTE: BLEEPING COMPUTER