WSL2 contorna regras de firewall do Windows 10

Linux 6.0-rc5 lançado após uma semana calma de desenvolvimento do kernel
tux

Os responsáveis pela VPN Mullvad anunciaram em seu blog que descobriram um problema de segurança no Windows 10. Mais especificamente, na versão recente do Windows Subsystem para Linux (WSL2). Segundo eles, o WSL2 contorna regras de firewall do Windows 10. Assim, não importaria a regra de configuração, o Firewall do Windows poderia ter este problema.

Seu produto inclui uma opção que usa o firewall para bloquear qualquer acesso à Internet, a menos que esteja conectado à VPN, mas um usuário os informa que, mesmo com a VPN desativada, a instalação do Linux em WSL2 ainda está conectada sem problemas à Internet. (Embora, quando havia um túnel VPN ativo, o tráfego WSL2 também era redirecionado por meio dele sem problemas.)

Posteriormente, eles fizeram a mesma verificação com outras VPNs da concorrência, com o mesmo resultado. Contudo, qual o motivo disto estar ocorrendo e por que não afeta a primeira versão do WSL?

WSL2 contorna regras de firewall do Windows 10. O problema é que WSL2 tem um kernel real

WSL2 contorna regras de firewall do Windows 10

 

Muito simples: WSL 1 não usava um kernel Linux real, mas uma adaptação que traduzia chamadas para o sistema Linux em chamadas para o kernel Windows 10 NT. No entanto, quando o WSL 2 chegou, começou a usar um kernel Linux real que roda em uma máquina virtual Hyper-V, com seu adaptador de rede virtual correspondente.

E é este último elemento que faz com que as conexões a partir do WSL2 permaneçam fora das camadas de segurança do Windows.

Como o objetivo do WSL2 era funcionar como um sistema operacional autônomo tanto quanto possível, faz sentido que funcione dessa forma. Entretanto, os usuários também precisam estar cientes dessa mudança de comportamento e saber como proteger suas conexões do subsistema.

A boa notícia é que isso permite que você use os próprios firewalls do Linux, como o famoso e antigo Iptables ou o mais moderno Nftables, para controlar o tráfego de rede.

Sobre a possibilidade de reproduzir o comportamento do WSL1 em relação ao uso de VPNs, os responsáveis pela VPN Mullvad dizem que ainda estão investigando se seria possível bloquear tráfego indesejado nos adaptadores virtuais Hyper-V .