Mi Laboratorio de Ciberseguridad Profesional con Proxmox y pfSense

Spread the love

En mi Laboratorio de Ciberseguridad Profesional con Proxmox y pfSense – Guía Paso a PasoUn entorno segmentado completo para Red Team, Blue Team y preparación de certificaciones (OSCP, CRTP, eJPT, etc.)

Introducción

En este artículo detallo cómo monté mi laboratorio de ciberseguridad aislado y profesional utilizando un Dell Precision Tower 5810 (Xeon E5-2697A v4, 128 GB RAM, Quadro P2000).

Este laboratorio está diseñado para simular un entorno empresarial real de forma segura y controlada. Utiliza Proxmox VE como hipervisor y pfSense como firewall para crear una infraestructura completamente segmentada.

Objetivos:

Entorno profesional y reproducible

Aprender Red Teaming y Blue Teaming simultáneamente

Preparación para OSCP, CRTP, PNPT, eJPT, etc.

Evitar fugas de malware a internet

1. Hardware y Software Base

Servidor: Dell Precision Tower 5810
CPU: Xeon E5-2697A v4 (16c/32t)
RAM: 128 GB DDR4
Hipervisor: Proxmox VE 9.2
Firewall: pfSense CE 2.8.x
Almacenamiento: SSD 1 TB (recomendado ampliar)

2. Arquitectura de Red (4 VLANs / Bridges)

Bridge	VLAN	Nombre	Subred	Propósito
vmbr10	10	Management	192.168.10.0/24	Gestión (Proxmox, pfSense, acceso)
vmbr20	20	Attacker (Red)	192.168.20.0/24	Máquinas de ataque (Kali), Kali Linux y herramientas
vmbr30	30	Victims	192.168.30.0/24	Máquinas a atacar
vmbr40	40	Blue Team	192.168.40.0/24	SIEM, Wazuh, Elastic, y herramientas defensivas

3. Instalación Base

Instalación de Proxmox VE 9.1
Configuración de los 4 Linux Bridges (/etc/network/interfaces)
Actualización del sistema

Configuración recomendada de /etc/network/interfaces (adaptada a mi Dell):

Bash

auto lo
iface lo inet loopback

iface nic0 inet manual

auto vmbr10
iface vmbr10 inet static
    address 192.168.1.200/24
    gateway 192.168.1.1
    bridge-ports nic0
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes
    bridge-vids 10 20 30 40

auto vmbr20
iface vmbr20 inet manual
    bridge-ports none
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes

auto vmbr30
iface vmbr30 inet manual
    bridge-ports none
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes

auto vmbr40
iface vmbr40 inet manual
    bridge-ports none
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes

4. pfSense – El Corazón del Laboratorio

Crear la VM de pfSense (Paso a paso)

En la interfaz web de Proxmox ve a tu nodo → botón Create VM (arriba a la derecha).

Rellena así:

General

VM ID: 100
Name: pfSense-FW
Start at boot: Marcado

OS

ISO image: Selecciona tu ISO de pfSense
Guest OS: Linux

System

BIOS: SeaBIOS
Machine: q35
SCSI Controller: VirtIO SCSI single

Disks

Bus/Device: VirtIO SCSI
Storage: elige local-lvm o tu disco principal
Disk size: 32 GB
Cache: Write back
Discard: Marcado

CPU

Cores: 2
Type: host

Memory

Memory: 4096 MB (4 GB)

Reglas de Firewall clave:

ATTACK →

Permitir salida a Internet
Permitir todo hacia Victims net

VICTIMS →

Permitir hacia Attacker net (respuestas)
Permitir hacia Management net (RDP, WinRM)
Bloquear salida a Internet

5. Inventario de Máquinas Recomendadas

VM ID	Nombre	Red / Bridge	Rol	RAM	CPU	Almacenamiento	Prioridad
100	pfSense-FW	vmbr10 + otros	Firewall / Router	4 GB	2	32 GB	Hecha
101	Win11-Management	vmbr10	PC de Gestión	8 GB	4	80 GB	Hecha
200	Kali-Attacker	vmbr20	Máquina de Ataque (Red Team)	12 GB	6	80-100 GB	En progreso
201	DC-Server2022	vmbr30	Domain Controller + AD	16 GB	4	100 GB	Alta
202	Win11-Victima	vmbr30	Cliente Windows (víctima)	8 GB	4	80 GB	Alta
203	Ubuntu-Vuln	vmbr30	Servidor Web + DB vulnerable	6 GB	2	60 GB	Media
300	Wazuh-SIEM	vmbr40	SIEM + Blue Team	20-24 GB	6	100 GB	Media-Alta

Hoja de Ruta Recomendada

Fase 1: Proxmox + Redes + pfSense
Fase 2: Máquina de Gestión (Windows 11)
Fase 3: Kali Linux (Atacante)
Fase 4: Active Directory Lab (DC + Clientes)
Fase 5: Máquinas vulnerables + Contenedores
Fase 6: SIEM (Wazuh All-in-One)
Fase 7: Automatización (Ansible/Terraform) + Escenarios avanzados

Crear VM Windows 11 – Management PC (Paso a paso)

En Proxmox ve a tu nodo → botón Create VM (arriba derecha)

Rellena los campos de la siguiente manera:

General

VM ID: 101
Name: Win11-Management
Start at boot: Marcado ✓

OS

ISO image: Selecciona tu ISO de Windows 11 Enterprise Evaluation (o Pro)
Guest OS: Microsoft Windows
Version: 11

System

BIOS: UEFI (importante para Windows 11)
Machine: q35
SCSI Controller: VirtIO SCSI single
EFI Disk: Marcado ✓ (se crea automáticamente)
Add TPM: Marcado ✓ (obligatorio para Windows 11)

Disks

Bus/Device: VirtIO SCSI
Storage: local-lvm (o tu disco principal)
Disk size: 80 GB (o más si quieres)
Cache: Write back
Discard: Marcado ✓

CPU

Cores: 4
Type: host
Sockets: 1

Memory

Memory: 8192 MB (8 GB)

Network (Muy importante)

Model: VirtIO (paravirtualizado)
Bridge: vmbr10 ← Correcto
Firewall: Marcado ✓

Haz clic en Finish para crear la VM.

Después de crear la VM

Selecciona la VM Win11-Management → Hardware
Asegúrate de que tienes:
- CD/DVD Drive con la ISO de Windows 11
- EFI Disk
- TPM
Inicia la VM y abre la consola.
Instala Windows 11 normalmente (elige «Custom» y borra la partición si es necesario).

Mi Laboratorio de Ciberseguridad Profesional con Proxmox y pfSense Guía Paso a Paso instalación de Windows 11 Enterprise Evaluation

Configuración de red después de instalar Windows 11

Una vez dentro de Windows 11:

Ve a Configuración → Red e Internet → Ethernet
Haz clic en Editar (o Propiedades de IPv4)
Configura IP estática:
- IP Address: 192.168.10.50
- Subnet Mask: 255.255.255.0
- Gateway: 192.168.10.1
- DNS Preferido: 192.168.10.1 (o 8.8.8.8)

6. Configuración Detallada – Kali Linux (VM 200)

1. Creación de la VM en Proxmox

Ve a Create VM y configura lo siguiente:

Sección	Configuración	Recomendación
VM ID	200	–
Name	Kali-Attacker	–
ISO	Kali Linux 2026.1 Installer (amd64)	Descargar la más reciente
BIOS	SeaBIOS o UEFI	SeaBIOS recomendado
Machine	q35	–
CPU	6 cores → Type: host	Puedes subir a 8
RAM	12288 MB (12 GB)	Ideal, puedes subir a 16 GB
Disco	100 GB → VirtIO SCSI	–
Network	VirtIO → Bridge: vmbr20	Red Atacante

Opciones avanzadas recomendadas:

SCSI Controller: VirtIO SCSI single
Cache: Write back
Discard: Marcado

2. Instalación de Kali Linux

Durante la instalación elige:

Guided – use entire disk (partición completa)
Desktop Environment: GNOME (recomendado)
Instala todo lo que te pregunte (SSH server, etc.)

3. Configuración de Red (IP Estática)

Después de instalar y reiniciar:

sudo nano /etc/netplan/01-netcfg.yaml

Pega esta configuración:

network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      dhcp4: no
      addresses: [192.168.20.50/24]
      gateway4: 192.168.20.1
      nameservers:
        addresses: [192.168.20.1, 8.8.8.8, 1.1.1.1]

Aplica los cambios:

sudo netplan apply

Verifica:

ip addr show
ping 192.168.20.1
ping 8.8.8.8

4. Actualización y Herramientas Esenciales

# Actualizar sistema
sudo apt update && sudo apt full-upgrade -y

# Instalar herramientas básicas
sudo apt install -y git curl wget python3-pip bloodhound neo4j crackmapexec impacket-scripts responder feroxbuster nuclei

# Instalar herramientas de AD
sudo apt install -y bloodhound-python

# Actualizar herramientas de Kali
sudo kali-tweaks

5. Configuraciones Recomendadas Post-Instalación

# Cambiar hostname
sudo hostnamectl set-hostname kali-attacker
sudo nano /etc/hosts   # Actualiza el hostname

# SSH (opcional pero útil)
sudo systemctl enable ssh
sudo systemctl start ssh

# Firewall ligero
sudo ufw allow from 192.168.10.0/24 to any port 22   # Solo desde Management
sudo ufw enable

6. Herramientas Adicionales Muy Recomendadas

# Instalar Sliver C2 (muy usado actualmente)
curl https://sliver.sh/install | sudo bash

# Covenant o Empire (opcional)

# Actualizar Metasploit
sudo msfdb init
msfupdate

Configuración Detallada – Kali Linux (VM 200)

7. Configuración Final Recomendada

IP: 192.168.20.50
Gateway: 192.168.20.1 (pfSense)
DNS: 192.168.20.1

7. Active Directory Lab (VM 201 + 202)

Crear VM 201 – DC-Server2022

En Proxmox → Create VM y configura exactamente así:

General

VM ID: 201
Name: DC-Server2022
Start at boot: Marcado ✓

OS

ISO image: Windows Server 2022 Evaluation ISO
Guest OS: Microsoft Windows
Version: 2022

System

BIOS: UEFI
Machine: q35
SCSI Controller: VirtIO SCSI single
EFI Disk: Marcado ✓
Add TPM: Marcado ✓ (recomendado)

Disks

Bus/Device: VirtIO SCSI
Storage: local-lvm (o tu disco)
Disk size: 100 GB
Cache: Write back
Discard: Marcado ✓

CPU

Cores: 4
Type: host

Memory

Memory: 16384 MB (16 GB) ← Muy importante para Active Directory

Network (Clave)

Model: VirtIO (paravirtualizado)
Bridge: vmbr30 ← Red de Víctimas
Firewall: Marcado ✓

Haz clic en Finish.

Durante la Instalación (Muy Importante)

Windows Server 2022 Standard Evaluation (Desktop Experience)

Cuando llegues a la pantalla “Selecciona el sistema operativo que deseas instalar”:

Elige obligatoriamente una de estas dos:

Windows Server 2022 Standard Evaluation (Desktop Experience)
Windows Server 2022 Datacenter Evaluation (Desktop Experience)

→ No elijas las que solo dicen “Standard” o “Datacenter” (esas son Core / sin escritorio).

Después de crear la VM

Inicia la VM y abre la consola.
Instala Windows Server 2022 normalmente:
- Elige Windows Server 2022 Standard Evaluation (Desktop Experience)
Configuración de red después de instalar Windows (muy importante):Ve a Configuración → Red e Internet → Ethernet → Propiedades de IPv4 y pon:
- IP Address: 192.168.30.10
- Subnet Mask: 255.255.255.0
- Gateway: 192.168.30.1 (IP de pfSense en la red Victims)
- DNS Preferido: 192.168.30.10 (él mismo, porque será el DC)

Domain Controller (DC01 – 192.168.30.10)

Pasos principales:

Instalar rol Active Directory Domain Services
Crear dominio: lab.local
Crear estructura:
- OU = Employees, IT, Servers
- Usuarios (Administrator, jdoe, msmith, svc_sql, etc.)
- Grupos (Domain Admins, Helpdesk, etc.)

Cliente Windows 11 (VM 202)

Unir al dominio lab.local
IP: 192.168.30.50

8. Wazuh All-in-One (Blue Team)

1. Creación de la VM para Wazuh

En Proxmox crea una nueva VM con estos parámetros:

Campo	Valor recomendado
VM ID	300
Name	Wazuh-SIEM
ISO	Ubuntu Server 24.04 LTS
BIOS	UEFI
CPU	6 cores (Type: host)
RAM	24576 MB (24 GB) ← Muy importante
Disco	100 GB (VirtIO SCSI)
Network	VirtIO → Bridge: vmbr40

2. Instalación de Ubuntu Server

Durante la instalación de Ubuntu:

Idioma: English
Keyboard: Spanish o la que uses
Network: Configura IP estática:
- IP: 192.168.40.10
- Gateway: 192.168.40.1
- DNS: 192.168.40.1
Nombre del servidor: wazuh
Usuario: admin (o el que prefieras)
Instala OpenSSH server

3. Instalación de Wazuh All-in-One (El paso más importante)

Después de instalar Ubuntu y entrar por primera vez, ejecuta estos comandos uno por uno:

Bash

# 1. Actualizar el sistema
sudo apt update && sudo apt upgrade -y

# 2. Instalar Wazuh All-in-One (este comando instala todo: Indexer, Server, Dashboard)
curl -sO https://packages.wazuh.com/4.8/wazuh-install.sh && bash wazuh-install.sh -a

Este proceso puede tardar 10 a 20 minutos.

4. Finalización e Información de Acceso

Cuando termine la instalación, verás algo como esto:

Bash

Wazuh installation finished.
Username: admin
Password: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Guarda bien la contraseña que te genera.

Accede al Dashboard desde tu Windows 11 Management:

→ https://192.168.40.10

Usuario: admin Contraseña: la que te generó Wazuh

5. Configuración Básica Post-Instalación

Bash

# Ver estado de los servicios
sudo systemctl status wazuh-manager
sudo systemctl status wazuh-indexer
sudo systemctl status wazuh-dashboard

Para añadir agentes más adelante (Windows Server, Kali, etc.) usarás el comando que te dará Wazuh.

9. Mejores Prácticas y Consejos

Haz snapshots antes de cada ataque grande.
Usa Guacamole para acceso web centralizado a todas las VMs.
Mantén siempre actualizado Proxmox y pfSense.
Documenta todos los escenarios que pruebas.
Nunca des salida directa a internet a las máquinas Victims.

10. Escenarios de Práctica Recomendados

Nivel Básico:

Escaneo y enumeración con Nmap
Explotación de vulnerabilidades conocidas (Metasploit)

Nivel Intermedio:

Kerberoasting + AS-REP Roasting
Pass-the-Hash / Pass-the-Ticket
Lateral Movement en Active Directory

Nivel Avanzado:

DCSync Attack
Silver/Golden Ticket
Simulación de Ransomware
Detección y respuesta con Wazuh

Introducción

1. Hardware y Software Base

2. Arquitectura de Red (4 VLANs / Bridges)

3. Instalación Base

4. pfSense – El Corazón del Laboratorio

Crear la VM de pfSense (Paso a paso)

General

OS

System

Disks

CPU

Memory

5. Inventario de Máquinas Recomendadas

Hoja de Ruta Recomendada

Crear VM Windows 11 – Management PC (Paso a paso)

General

OS

System

Disks

CPU

Memory

Network (Muy importante)

Después de crear la VM

Configuración de red después de instalar Windows 11

6. Configuración Detallada – Kali Linux (VM 200)

1. Creación de la VM en Proxmox

2. Instalación de Kali Linux

3. Configuración de Red (IP Estática)

4. Actualización y Herramientas Esenciales

5. Configuraciones Recomendadas Post-Instalación

6. Herramientas Adicionales Muy Recomendadas

7. Configuración Final Recomendada

7. Active Directory Lab (VM 201 + 202)

Crear VM 201 – DC-Server2022

General

OS

System

Disks

CPU

Memory

Network (Clave)

Durante la Instalación (Muy Importante)

Después de crear la VM

8. Wazuh All-in-One (Blue Team)

1. Creación de la VM para Wazuh

2. Instalación de Ubuntu Server

3. Instalación de Wazuh All-in-One (El paso más importante)

4. Finalización e Información de Acceso

5. Configuración Básica Post-Instalación

9. Mejores Prácticas y Consejos

10. Escenarios de Práctica Recomendados

Te puede interesar

Deja un comentario Cancelar respuesta