Nessus - Problemas y Buenas Prácticas de Escaneo

#nessus #scanner #analisis-vulnerabilidades #troubleshooting #buenas-practicas #configuracion #seguridad

Nessus es una de las plataformas de análisis de vulnerabilidades más utilizadas, pero su uso sin precaución puede causar falsos positivos, interrupciones o impacto negativo en redes sensibles.

🧠 Buenas prácticas antes de escanear

✅ Consulta con el cliente o con los responsables internos.
🚫 Excluye hosts sensibles, sistemas heredados o dispositivos críticos (HA, SCADA, etc.).
🕒 Programa escaneos en horarios de baja actividad o usa perfiles menos agresivos.
⚙️ Considera hacer escaneos separados para dispositivos críticos.

🔧 Mitigación de problemas comunes

1. 🔥 Firewalls que bloquean escaneos

Algunos firewalls pueden hacer que:
- 🔓 Todos los puertos parezcan abiertos.
- 🔒 Ningún puerto aparezca disponible.
Solución: Desactiva "Ping the remote host" en el escaneo avanzado para evitar depender de ICMP.

2. 🚀 Limitar el impacto del escaneo

Ve a: Performance Options → ajusta:
- Max Concurrent Checks Per Host
- Max Hosts Per Scan
Útil cuando el host tiene alta carga (ej. servidores web/productivos).

3. 🧻 Excluir impresoras y sistemas legacy

Muchos dispositivos antiguos o embebidos no toleran escaneos agresivos.
Usa filtros por tipo de sistema o ajusta el alcance.

4. 🛑 Evitar pruebas de denegación de servicio

Marca siempre la opción: "Perform safe checks" ✅
Esto evita complementos destructivos o de stress que puedan colapsar servicios.

💬 Recuerda: aunque selecciones "safe checks", el impacto nunca es completamente nulo.

🧾 Uso del archivo `nessusd.rules`

Puedes definir reglas de exclusión o tratamiento especial de IPs desde este archivo.

📌 Ubicación típica en Linux:
/opt/nessus/var/nessus/nessusd.rules

Más info en la documentación oficial de Tenable.

🌐 Monitoreo del impacto en red con `vnstat`

Escanear puede generar tráfico considerable, afectando enlaces débiles o congestionados. Usa vnstat para medir el impacto.

📦 Instalar y usar:

sudo apt install vnstat sudo vnstat -l -i eth0   # Monitorea tráfico en tiempo real

🧪 Antes del escaneo:

rx: 332 bit/s tx: 332 bit/s → bajo impacto

💣 Durante un escaneo:

rx: 307.92 kbit/s tx: 380.41 kbit/s paquetes: ~18k rx / ~22k tx en 38s

🔍 Compara antes y después para evaluar la carga generada.