Mi Laboratorio de Ciberseguridad Profesional con Proxmox y pfSense – Guía Paso a Paso (2026)

Mi Laboratorio de Ciberseguridad Profesional con Proxmox y pfSense – Guía Paso a Paso (2026)

En mi Laboratorio de Ciberseguridad Profesional con Proxmox y pfSense – Guía Paso a PasoUn entorno segmentado completo para Red Team, Blue Team y preparación de certificaciones (OSCP, CRTP, eJPT, etc.)

Introducción

En este artículo detallo cómo monté mi laboratorio de ciberseguridad aislado y profesional utilizando un Dell Precision Tower 5810 (Xeon E5-2697A v4, 128 GB RAM, Quadro P2000).

Este laboratorio está diseñado para simular un entorno empresarial real de forma segura y controlada. Utiliza Proxmox VE como hipervisor y pfSense como firewall para crear una infraestructura completamente segmentada.

Objetivos:

Entorno profesional y reproducible

Aprender Red Teaming y Blue Teaming simultáneamente

Preparación para OSCP, CRTP, PNPT, eJPT, etc.

Evitar fugas de malware a internet


1. Hardware y Software Base

  • Servidor: Dell Precision Tower 5810
  • CPU: Xeon E5-2697A v4 (16c/32t)
  • RAM: 128 GB DDR4
  • Hipervisor: Proxmox VE 9.2
  • Firewall: pfSense CE 2.8.x
  • Almacenamiento: SSD 1 TB (recomendado ampliar)

2. Arquitectura de Red (4 VLANs / Bridges)

BridgeVLANNombreSubredPropósito
vmbr1010Management192.168.10.0/24Gestión (Proxmox, pfSense, acceso)
vmbr2020Attacker (Red)192.168.20.0/24Máquinas de ataque (Kali), Kali Linux y herramientas
vmbr3030Victims192.168.30.0/24Máquinas a atacar
vmbr4040Blue Team192.168.40.0/24SIEM, Wazuh, Elastic, y herramientas defensivas

3. Instalación Base

  1. Instalación de Proxmox VE 9.1
  2. Configuración de los 4 Linux Bridges (/etc/network/interfaces)
  3. Actualización del sistema

«Nota: Para visualizar correctamente y copiar sin errores los siguientes archivos de configuración del hipervisor, hemos mejorado los contenedores de código de nuestra plataforma utilizando las plantillas de desarrollo explicadas en nuestro artículo sobre Code Block Pro

Configuración recomendada de /etc/network/interfaces (adaptada a mi Dell):

auto lo
iface lo inet loopback

iface nic0 inet manual

auto vmbr10
iface vmbr10 inet static
    address 192.168.1.200/24
    gateway 192.168.1.1
    bridge-ports nic0
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes
    bridge-vids 10 20 30 40

auto vmbr20
iface vmbr20 inet manual
    bridge-ports none
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes

auto vmbr30
iface vmbr30 inet manual
    bridge-ports none
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes

auto vmbr40
iface vmbr40 inet manual
    bridge-ports none
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes

4. pfSense – El Corazón del Laboratorio

Crear la VM de pfSense (Paso a paso)

En la interfaz web de Proxmox ve a tu nodo → botón Create VM (arriba a la derecha).

Rellena así:

General

  • VM ID: 100
  • Name: pfSense-FW
  • Start at boot: Marcado

OS

  • ISO image: Selecciona tu ISO de pfSense
  • Guest OS: Linux

System

  • BIOS: SeaBIOS
  • Machine: q35
  • SCSI Controller: VirtIO SCSI single

Disks

  • Bus/Device: VirtIO SCSI
  • Storage: elige local-lvm o tu disco principal
  • Disk size: 32 GB
  • Cache: Write back
  • Discard: Marcado

CPU

  • Cores: 2
  • Type: host

Memory

  • Memory: 4096 MB (4 GB)

Reglas de Firewall clave:

ATTACK →

  • Permitir salida a Internet
  • Permitir todo hacia Victims net

VICTIMS →

  • Permitir hacia Attacker net (respuestas)
  • Permitir hacia Management net (RDP, WinRM)
  • Bloquear salida a Internet

5. Inventario de Máquinas Recomendadas

VM IDNombreRed / BridgeRolRAMCPUAlmacenamientoPrioridad
100pfSense-FWvmbr10 + otrosFirewall / Router4 GB232 GBHecha
101Win11-Managementvmbr10PC de Gestión8 GB480 GBHecha
200Kali-Attackervmbr20Máquina de Ataque (Red Team)12 GB680-100 GBEn progreso
201DC-Server2022vmbr30Domain Controller + AD16 GB4100 GBAlta
202Win11-Victimavmbr30Cliente Windows (víctima)8 GB480 GBAlta
203Ubuntu-Vulnvmbr30Servidor Web + DB vulnerable6 GB260 GBMedia
300Wazuh-SIEMvmbr40SIEM + Blue Team20-24 GB6100 GBMedia-Alta

Hoja de Ruta Recomendada

  • Fase 1: Proxmox + Redes + pfSense
  • Fase 2: Máquina de Gestión (Windows 11)
  • Fase 3: Kali Linux (Atacante)
  • Fase 4: Active Directory Lab (DC + Clientes)
  • Fase 5: Máquinas vulnerables + Contenedores
  • Fase 6: SIEM (Wazuh All-in-One)
  • Fase 7: Automatización (Ansible/Terraform) + Escenarios avanzados

Crear VM Windows 11 – Management PC (Paso a paso)

  1. En Proxmox ve a tu nodo → botón Create VM (arriba derecha)

Rellena los campos de la siguiente manera:

General

  • VM ID: 101
  • Name: Win11-Management
  • Start at boot: Marcado ✓

OS

  • ISO image: Selecciona tu ISO de Windows 11 Enterprise Evaluation (o Pro)
  • Guest OS: Microsoft Windows
  • Version: 11

System

  • BIOS: UEFI (importante para Windows 11)
  • Machine: q35
  • SCSI Controller: VirtIO SCSI single
  • EFI Disk: Marcado ✓ (se crea automáticamente)
  • Add TPM: Marcado ✓ (obligatorio para Windows 11)

Disks

  • Bus/Device: VirtIO SCSI
  • Storage: local-lvm (o tu disco principal)
  • Disk size: 80 GB (o más si quieres)
  • Cache: Write back
  • Discard: Marcado ✓

CPU

  • Cores: 4
  • Type: host
  • Sockets: 1

Memory

  • Memory: 8192 MB (8 GB)

Network (Muy importante)

  • Model: VirtIO (paravirtualizado)
  • Bridge: vmbr10 ← Correcto
  • Firewall: Marcado ✓

Haz clic en Finish para crear la VM.


Después de crear la VM

  1. Selecciona la VM Win11-Management → Hardware
  2. Asegúrate de que tienes:
    • CD/DVD Drive con la ISO de Windows 11
    • EFI Disk
    • TPM
  3. Inicia la VM y abre la consola.
  4. Instala Windows 11 normalmente (elige «Custom» y borra la partición si es necesario).
Mi Laboratorio de Ciberseguridad Profesional con Proxmox y pfSense Guía Paso a Paso instalación de Windows 11 Enterprise Evaluation

Configuración de red después de instalar Windows 11

Una vez dentro de Windows 11:

  • Ve a Configuración → Red e Internet → Ethernet
  • Haz clic en Editar (o Propiedades de IPv4)
  • Configura IP estática:
    • IP Address: 192.168.10.50
    • Subnet Mask: 255.255.255.0
    • Gateway: 192.168.10.1
    • DNS Preferido: 192.168.10.1 (o 8.8.8.8)

6. Configuración Detallada – Kali Linux (VM 200)

1. Creación de la VM en Proxmox

Ve a Create VM y configura lo siguiente:

SecciónConfiguraciónRecomendación
VM ID200
NameKali-Attacker
ISOKali Linux 2026.1 Installer (amd64)Descargar la más reciente
BIOSSeaBIOS o UEFISeaBIOS recomendado
Machineq35
CPU6 cores → Type: hostPuedes subir a 8
RAM12288 MB (12 GB)Ideal, puedes subir a 16 GB
Disco100 GB → VirtIO SCSI
NetworkVirtIO → Bridge: vmbr20Red Atacante

Opciones avanzadas recomendadas:

  • SCSI Controller: VirtIO SCSI single
  • Cache: Write back
  • Discard: Marcado

2. Instalación de Kali Linux

Durante la instalación elige:

  • Guided – use entire disk (partición completa)
  • Desktop Environment: GNOME (recomendado)
  • Instala todo lo que te pregunte (SSH server, etc.)

3. Configuración de Red (IP Estática)

Después de instalar y reiniciar:

sudo nano /etc/netplan/01-netcfg.yaml

Pega esta configuración:

network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      dhcp4: no
      addresses: [192.168.20.50/24]
      gateway4: 192.168.20.1
      nameservers:
        addresses: [192.168.20.1, 8.8.8.8, 1.1.1.1]

Aplica los cambios:

sudo netplan apply

Verifica:

ip addr show
ping 192.168.20.1
ping 8.8.8.8

4. Actualización y Herramientas Esenciales

<em># Actualizar sistema</em>
sudo apt update && sudo apt full-upgrade -y

<em># Instalar herramientas básicas</em>
sudo apt install -y git curl wget python3-pip bloodhound neo4j crackmapexec impacket-scripts responder feroxbuster nuclei

<em># Instalar herramientas de AD</em>
sudo apt install -y bloodhound-python

<em># Actualizar herramientas de Kali</em>
sudo kali-tweaks

5. Configuraciones Recomendadas Post-Instalación

<em># Cambiar hostname</em>
sudo hostnamectl set-hostname kali-attacker
sudo nano /etc/hosts<em>   # Actualiza el hostname</em>

<em># SSH (opcional pero útil)</em>
sudo systemctl enable ssh
sudo systemctl start ssh

<em># Firewall ligero</em>
sudo ufw allow from 192.168.10.0/24 to any port 22<em>   # Solo desde Management</em>
sudo ufw enable

6. Herramientas Adicionales Muy Recomendadas

<em># Instalar Sliver C2 (muy usado actualmente)</em>
curl https://sliver.sh/install | sudo bash

<em># Covenant o Empire (opcional)</em>

<em># Actualizar Metasploit</em>
sudo msfdb init
msfupdate

Configuración Detallada – Kali Linux (VM 200)

7. Configuración Final Recomendada

  • IP: 192.168.20.50
  • Gateway: 192.168.20.1 (pfSense)
  • DNS: 192.168.20.1

7. Active Directory Lab (VM 201 + 202)

Crear VM 201 – DC-Server2022

En Proxmox → Create VM y configura exactamente así:

General

  • VM ID: 201
  • Name: DC-Server2022
  • Start at boot: Marcado ✓

OS

  • ISO image: Windows Server 2022 Evaluation ISO
  • Guest OS: Microsoft Windows
  • Version: 2022

System

  • BIOS: UEFI
  • Machine: q35
  • SCSI Controller: VirtIO SCSI single
  • EFI Disk: Marcado ✓
  • Add TPM: Marcado ✓ (recomendado)

Disks

  • Bus/Device: VirtIO SCSI
  • Storage: local-lvm (o tu disco)
  • Disk size: 100 GB
  • Cache: Write back
  • Discard: Marcado ✓

CPU

  • Cores: 4
  • Type: host

Memory

  • Memory: 16384 MB (16 GB) ← Muy importante para Active Directory

Network (Clave)

  • Model: VirtIO (paravirtualizado)
  • Bridge: vmbr30 ← Red de Víctimas
  • Firewall: Marcado ✓

Haz clic en Finish.


Durante la Instalación (Muy Importante)

Windows Server 2022 Standard Evaluation (Desktop Experience)

Cuando llegues a la pantalla “Selecciona el sistema operativo que deseas instalar”:

Elige obligatoriamente una de estas dos:

  • Windows Server 2022 Standard Evaluation (Desktop Experience)
  • Windows Server 2022 Datacenter Evaluation (Desktop Experience)

No elijas las que solo dicen “Standard” o “Datacenter” (esas son Core / sin escritorio).


Después de crear la VM

  1. Inicia la VM y abre la consola.
  2. Instala Windows Server 2022 normalmente:
    • Elige Windows Server 2022 Standard Evaluation (Desktop Experience)
  3. Configuración de red después de instalar Windows (muy importante):Ve a Configuración → Red e Internet → Ethernet → Propiedades de IPv4 y pon:
    • IP Address: 192.168.30.10
    • Subnet Mask: 255.255.255.0
    • Gateway: 192.168.30.1 (IP de pfSense en la red Victims)
    • DNS Preferido: 192.168.30.10 (él mismo, porque será el DC)

Domain Controller (DC01 – 192.168.30.10)


Pasos principales:

  1. Instalar rol Active Directory Domain Services
  2. Crear dominio: lab.local
  3. Crear estructura:
    • OU = Employees, IT, Servers
    • Usuarios (Administrator, jdoe, msmith, svc_sql, etc.)
    • Grupos (Domain Admins, Helpdesk, etc.)

Cliente Windows 11 (VM 202)

  • Unir al dominio lab.local
  • IP: 192.168.30.50

8. Wazuh All-in-One (Blue Team)

1. Creación de la VM para Wazuh

En Proxmox crea una nueva VM con estos parámetros:

CampoValor recomendado
VM ID300
NameWazuh-SIEM
ISOUbuntu Server 24.04 LTS
BIOSUEFI
CPU6 cores (Type: host)
RAM24576 MB (24 GB) ← Muy importante
Disco100 GB (VirtIO SCSI)
NetworkVirtIO → Bridge: vmbr40

2. Instalación de Ubuntu Server

Durante la instalación de Ubuntu:

  • Idioma: English
  • Keyboard: Spanish o la que uses
  • Network: Configura IP estática:
    • IP: 192.168.40.10
    • Gateway: 192.168.40.1
    • DNS: 192.168.40.1
  • Nombre del servidor: wazuh
  • Usuario: admin (o el que prefieras)
  • Instala OpenSSH server

3. Instalación de Wazuh All-in-One (El paso más importante)

Después de instalar Ubuntu y entrar por primera vez, ejecuta estos comandos uno por uno:

Bash

<em># 1. Actualizar el sistema</em>
sudo apt update && sudo apt upgrade -y

<em># 2. Instalar Wazuh All-in-One (este comando instala todo: Indexer, Server, Dashboard)</em>
curl -sO https://packages.wazuh.com/4.8/wazuh-install.sh && bash wazuh-install.sh -a

Este proceso puede tardar 10 a 20 minutos.


4. Finalización e Información de Acceso

Cuando termine la instalación, verás algo como esto:

Bash

Wazuh installation finished.
Username: admin
Password: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Guarda bien la contraseña que te genera.

Accede al Dashboard desde tu Windows 11 Management:

→ https://192.168.40.10

Usuario: admin Contraseña: la que te generó Wazuh


5. Configuración Básica Post-Instalación

Bash

<em># Ver estado de los servicios</em>
sudo systemctl status wazuh-manager
sudo systemctl status wazuh-indexer
sudo systemctl status wazuh-dashboard

Para añadir agentes más adelante (Windows Server, Kali, etc.) usarás el comando que te dará Wazuh.


9. Mejores Prácticas y Consejos

  • Haz snapshots antes de cada ataque grande.
  • Usa Guacamole para acceso web centralizado a todas las VMs.
  • Mantén siempre actualizado Proxmox y pfSense.
  • Documenta todos los escenarios que pruebas.
  • Nunca des salida directa a internet a las máquinas Victims.

10. Escenarios de Práctica Recomendados

Nivel Básico:

  • Escaneo y enumeración con Nmap
  • Explotación de vulnerabilidades conocidas (Metasploit)

Nivel Intermedio:

  • Kerberoasting + AS-REP Roasting
  • Pass-the-Hash / Pass-the-Ticket
  • Lateral Movement en Active Directory

Nivel Avanzado:

  • DCSync Attack
  • Silver/Golden Ticket
  • Simulación de Ransomware
  • Detección y respuesta con Wazuh

Ahora que ya tienes configurado tu Laboratorio de Ciberseguridad Profesional con Proxmox, comenta que te ha parecido.

Deja un comentario