Implementación de Nessus para el análisis de vulnerabilidades en un centro de datos
Barra lateral del artículo
Contenido principal del artículo
Resumen
El Centro de Datos de una universidad alberga información vital y sensible, por lo que la identificación y corrección de vulnerabilidades en su infraestructura digital es crucial. La creciente complejidad de las infraestructuras digitales, especialmente con la adopción de tecnologías de virtualización y servicios en la nube, introdujo nuevos desafíos de seguridad, lo que hace indispensable la gestión de vulnerabilidades. Ante la gran cantidad de servidores virtuales y la diversidad de sistemas operativos en ellos, la revisión manual de seguridad no es viable, lo que motivó la necesidad de implementar herramientas de automatización para el análisis de vulnerabilidades. Se decidió implementar y evaluar la herramienta Nessus en un entorno de pruebas, con el objetivo de identificar y reportar brechas de seguridad en la infraestructura virtualizada, que se fundamentó en su amplio reconocimiento en la industria, así como su uso de manera exitosa en otras instituciones académicas para la detección proactiva y automatizada de vulnerabilidades.
La metodología consistió en instalar Nessus en una máquina virtual, dentro de un clúster de pruebas con el hipervisor Proxmox y diversas máquinas virtuales con algunas brechas de seguridad. Para las direcciones IP objetivo, se realizaron escaneos básicos y con credenciales, y se emplearon los rangos de puertos predeterminados. Los resultados del análisis proporcionaron un número total de vulnerabilidades identificadas y su distribución por nivel de gravedad, lo que permitió realizar recomendaciones específicas para mejorar la seguridad del entorno de pruebas. El análisis demostró la eficiencia para identificar y clasificar vulnerabilidades en infraestructuras virtualizadas complejas, en las que múltiples recursos físicos como servidores, almacenamiento y redes han sido virtualizados, resaltando la importancia de un programa continuo de gestión de vulnerabilidades y la adopción de mejores prácticas de seguridad para mejorar la capacidad de la infraestructura digital, con el fin de resistir y recuperarse de incidentes.
Descargas
Detalles del artículo
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0.
Este trabajo tiene la licencia CC BY-NC-ND 4.0
Citas
Chhillar, K. (2021). University computer network vulnerability assessment using NESSUS. Paper Code: RDMOCS-P62. https://www.researchgate.net/publication/356998084_University_Computer_Network_Vulnerability_Assessment_using_NESSUS_Paper_Code_RDMOCS-P62
Elastic. (s.f.). ¿Qué es la gestión de vulnerabilidades? https://www.elastic.co/es/what-is/vulnerability-management
GeeksforGeeks. (2024). Explain Nessus Tool in Security Testing. https://www.geeksforgeeks.org/explain-nessus-tool-in-security-testing/
Harvard University Information Technology Security Operations. (2024). HUIT Server security requirements standard v1.5. https://enterprisearchitecture.harvard.edu/sites/hwpi.harvard.edu/files/enterprise/files/huit_server_security_requirements_standard_v1.5.pdf
Kak, A. (2024). Port and Vulnerability Scanning, Packet Sniffing, Intrusion Detection, and Penetration Testing. Purdue University. https://engineering.purdue.edu/kak/compsec/NewLectures/Lecture23.pdf
Lim, J. T., & Nieh, J. (2020). Optimizing nested virtualization performance using direct virtual hardware. In Proceedings of the Twenty-Fifth International Conference on ASPLOS Architectural Support for Programming Languages and Operating Systems (pp. 557-574). https://www.cs.columbia.edu/~nieh/pubs/asplos2020_dvh.pdf DOI: https://doi.org/10.1145/3373376.3378467
Paspuel, T., & Pablo, J. (2024). Propuesta de un plan de mitigación de riesgos basado en la evaluación de los controles de la ISO 27002, para la identificación de vulnerabilidades. Universidad Tecnológica Israel. Paper Code: MASTER-SEG.INF-PRO;012. (pp. 56-63).
Proxmox Support Forum. (2023). Compatibility with vulnerability scanners [Mensaje en un foro]. https://forum.proxmox.com/threads/compatibility-with-vulnerability-scanners.120807/
Railkar, D. (2022). A Study on Vulnerability Scanning Tools for Network Security. International Journal of Scientific Research in Computer Science Engineering and Information Technology. 8(6):340. (pp. 68-75). https://www.researchgate.net/publication/361951998_A_Study_on_Vulnerability_Scanning_Tools_for_Network_Security
Sllame, A. M., Tomia, T. E., & Rahuma, R. M. (2024). A Holistic Approach for Cyber Security Vulnerability Assessment Based on Open Source Tools: Nikto, Acunitx, ZAP, Nessus and Enhanced with AI-Powered Tool ImmuniWeb. In 2024 IEEE 4th International Maghreb Meeting of the Conference on Sciences and Techniques of Automatic Control and Computer Engineering (MI-STA) (pp. 68-75). DOI: https://doi.org/10.1109/MI-STA61267.2024.10599685
University of California, Berkeley. (2025). Frequently asked questions. Information security office. https://security.berkeley.edu/faq-page
University of Texas at Austin. (2021). Minimum security standards for systems. https://security.utexas.edu/content/min-security-standards/systems
Tenable, Inc. (2025). Risk metrics. https://docs.tenable.com/nessus/Content/RiskMetrics.htm
West Virginia University. (2022). Vulnerability management standard. https://it.wvu.edu/policies-and-procedures/security/vulnerability-management-standard