Una de las preocupaciones de los usuarios de Internet es que su tráfico se filtre en la red. Son muchas las razones por las cuales esto podría ocurrir. A veces puede ser por un mal uso de las herramientas de Internet, otras veces por vulnerabilidades existentes o errores que cometemos. En este artículo nos hacemos eco de una investigación de seguridad que informa sobre cómo algunos usuarios de Linux bajo WSL2 pueden estar filtrando su tráfico.
Linux bajo WSL2 podría filtrar el tráfico de Internet
Un grupo de investigadores de seguridad de Mullvad VPN ha descubierto que los usuarios que utilicen Linux bajo WSL2 podrían estar filtrando el tráfico en la red. Ya sabemos que son muchos los que optan por este sistema operativo como alternativa a Windows. Hay muchas distribuciones y variedades que se adaptan a cada caso.
Estos investigadores también han demostrado que estas filtraciones también ocurren en otro software de VPN. Eso sí, de momento no cuentan con una solución que presentar. No obstante aseguran que están trabajando para resolverlo.
Indican que han recibido un informe que decía que había filtraciones de Linux bajo WSL2. Sus investigaciones reflejaron que el tráfico del invitado de Linux pasa por alto todas las capas normales de WFP (el firewall en host de Windows) y sale directamente a la red. Por tanto ignora todo el bloqueo que realiza la aplicación en el firewall.
Hay que tener en cuenta que el tráfico de red del invitado de Linux siempre sale por la ruta predeterminada de la máquina host sin ser inspeccionado por las capas normales de WFP. Esto significa que si hay un túnel VPN en funcionamiento, el tráfico del invitado de Linux se enviará a través de la VPN sin fugas. Sin embargo, si no hay un túnel VPN activo, como es el caso cuando la aplicación se desconecta, se conecta, se vuelve a conectar o se bloquea (cuando se ha producido un error), el tráfico del invitado de Linux se filtraría en la red normal, incluso si «Siempre requiere VPN” está habilitado.
Por qué se produce la filtración
WSL2 utiliza redes virtuales Hyper-V y es ahí donde está el problema. El adaptador Ethernet virtual de Hyper-V pasa el tráfico hacia y desde los invitados sin permitir que el firewall del host inspeccione los paquetes de la misma manera que se inspeccionan los paquetes normales.
Los paquetes reenviados (NAT) se ven en las capas inferiores de WFP (capa 2 de OSI) como tramas de Ethernet únicamente. Este tipo de fuga también puede ocurrirle a cualquier invitado que se ejecute en Windows Sandbox o Docker si está configurado para usar Hyper-V para redes.
Aseguran también que han probado otro software VPN y ocurre lo mismo. El problema está en la forma en que Microsoft ha implementado redes virtuales para invitados de Linux hace que sea muy difícil protegerlos adecuadamente.
Podéis leer el informe completo de Mullvad VPN. Os dejamos también un tutorial sobre VPN para móviles.