Подсистема Windows для Linux 2 будет обходить брандмауэр Windows 10 и любые настроенные правила, что вызывает опасения по поводу безопасности для тех, кто использует эту функцию.
В сегодняшнем блоге Mullvad VPN объяснил, что их продукт включает опцию «Всегда требовать VPN», которая блокирует доступ в Интернет через брандмауэр Windows, если не подключен к VPN.
После того, как Маллвад получил подсказку от пользователя, было определено, что дистрибутивы WSL2 Linux обходят брандмауэр Windows 10 и его настроенные правила и предотвращают работу функции безопасности VPN «Всегда требовать VPN».
WSL 2 обходит брандмауэр Windows
Mullvad заявляет, что они тестировали эту проблему с несколькими продуктами VPN, и проблема существует во всех из них.
Проблема в том, что это не имеет ничего общего с программным обеспечением VPN, а просто так была разработана подсистема Windows для Linux 2.
Первая версия подсистемы Windows для Linux (WSL 1) использует ядро, совместимое с Linux, которое переводит систему Linux в вызовы, работающие с ядром Windows NT.
При использовании WSL 1 любой сетевой трафик фильтруется через расширенный брандмауэр Windows (WAF), а дистрибутив Linux соблюдает все настроенные правила.
С выпуском WSL 2 Microsoft представила настоящее ядро Linux, работающее на виртуальной машине Hyper-V с виртуальным сетевым адаптером Hyper-V.
В отличие от WSL 1, трафик WSL 2 направляется на правильное соединение, будь то адаптер LAN Ethernet или VPN, но он полностью обходит брандмауэр Windows.
Например, я создал правило брандмауэра Windows, которое блокирует весь исходящий трафик на порт 80 (HTTP) и 443 (HTTPS), порты по умолчанию при подключении к веб-сайтам.
Правило брандмауэра Windows для блокировки исходящих веб-подключений
При включении это правило блокировало все исходящие подключения к веб-сайтам из дистрибутивов Windows 10 и WSL 1 Linux.
С другой стороны, когда я тестировал дистрибутив Ubuntu WSL 2, у меня не было проблем с подключением к Google.com, поскольку он обходил фильтрацию брандмауэра Windows.
Распространение WSL 2 в обход брандмауэра Windows
Чтобы убедиться, что это не странная конфигурация с моей стороны, многие другие люди помогли BleepignComputer протестировать обход, и они подтвердили, что это происходит и на их стороне.
Подумаешь?
Основная проблема WSL 2 в обход брандмауэра Windows заключается в том, что об этом никто не знает.
Если вы переходите с WSL 1, вы ожидаете, что ваши исходящие соединения из дистрибутивов WSL Linux будут фильтроваться через брандмауэр Windows, поскольку это обычное поведение.
Однако после обновления до WSL 2 конфигурация брандмауэра больше не учитывается, и любая безопасность, которая от него зависит, больше не работает.
Поскольку дистрибутивы WSL 2 могут поддерживать широкий спектр приложений Linux, включая серверные реализации, такие как Docker, имеет смысл рассматриваться как независимая операционная система, не зависящая от брандмауэра Windows.
Однако необходимо, чтобы пользователи знали, что настроенные ими правила брандмауэра Windows будут игнорироваться.
Хорошей новостью является то, что WSL 2 поддерживает реализации брандмауэра Linux, такие как iptables, которые могут контролировать сетевой трафик.
Например, после установки iptables вы можете использовать следующую команду, чтобы заблокировать подключения к портам 80 и 443.
sudo iptables -A OUTPUT -p tcp --match multiport --dports 80,443 -j DROP
После включения этого правила попытки подключения к веб-сайту из дистрибутива Linux WSL 2 больше не работают.
iptables блокирует подключение к Google
Подсистема Windows для Linux версии 2 (WSL 2) намного мощнее, чем первая версия, но с ней связаны соображения безопасности, о которых следует знать пользователям.
Предположим, вы полагаетесь на брандмауэр Windows для управления сетевым подключением. В этом случае вам нужно уделить особое внимание тому, как вы настраиваете свои дистрибутивы WSL 2, чтобы вы могли реплицировать настроенную безопасность Windows.
BleepingComputer связался с Microsoft с вопросами, связанными с этой историей, но не получил ответа.
Перевод с английского - Google
Последнее редактирование:
