En mi Laboratorio de Ciberseguridad Profesional con Proxmox y pfSense – Guía Paso a PasoUn entorno segmentado completo para Red Team, Blue Team y preparación de certificaciones (OSCP, CRTP, eJPT, etc.)
Introducción
En este artículo detallo cómo monté mi laboratorio de ciberseguridad aislado y profesional utilizando un Dell Precision Tower 5810 (Xeon E5-2697A v4, 128 GB RAM, Quadro P2000).
Este laboratorio está diseñado para simular un entorno empresarial real de forma segura y controlada. Utiliza Proxmox VE como hipervisor y pfSense como firewall para crear una infraestructura completamente segmentada.
Objetivos:
Entorno profesional y reproducible
Aprender Red Teaming y Blue Teaming simultáneamente
Preparación para OSCP, CRTP, PNPT, eJPT, etc.
Evitar fugas de malware a internet
1. Hardware y Software Base
- Servidor: Dell Precision Tower 5810
- CPU: Xeon E5-2697A v4 (16c/32t)
- RAM: 128 GB DDR4
- Hipervisor: Proxmox VE 9.2
- Firewall: pfSense CE 2.8.x
- Almacenamiento: SSD 1 TB (recomendado ampliar)
2. Arquitectura de Red (4 VLANs / Bridges)
| Bridge | VLAN | Nombre | Subred | Propósito |
|---|---|---|---|---|
| vmbr10 | 10 | Management | 192.168.10.0/24 | Gestión (Proxmox, pfSense, acceso) |
| vmbr20 | 20 | Attacker (Red) | 192.168.20.0/24 | Máquinas de ataque (Kali), Kali Linux y herramientas |
| vmbr30 | 30 | Victims | 192.168.30.0/24 | Máquinas a atacar |
| vmbr40 | 40 | Blue Team | 192.168.40.0/24 | SIEM, Wazuh, Elastic, y herramientas defensivas |
3. Instalación Base
- Instalación de Proxmox VE 9.1
- Configuración de los 4 Linux Bridges (/etc/network/interfaces)
- Actualización del sistema
Configuración recomendada de /etc/network/interfaces (adaptada a mi Dell):
Bash
auto lo
iface lo inet loopback
iface nic0 inet manual
auto vmbr10
iface vmbr10 inet static
address 192.168.1.200/24
gateway 192.168.1.1
bridge-ports nic0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 10 20 30 40
auto vmbr20
iface vmbr20 inet manual
bridge-ports none
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
auto vmbr30
iface vmbr30 inet manual
bridge-ports none
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
auto vmbr40
iface vmbr40 inet manual
bridge-ports none
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes4. pfSense – El Corazón del Laboratorio
Crear la VM de pfSense (Paso a paso)
En la interfaz web de Proxmox ve a tu nodo → botón Create VM (arriba a la derecha).
Rellena así:
General
- VM ID: 100
- Name: pfSense-FW
- Start at boot: Marcado
OS
- ISO image: Selecciona tu ISO de pfSense
- Guest OS: Linux
System
- BIOS: SeaBIOS
- Machine: q35
- SCSI Controller: VirtIO SCSI single
Disks
- Bus/Device: VirtIO SCSI
- Storage: elige local-lvm o tu disco principal
- Disk size: 32 GB
- Cache: Write back
- Discard: Marcado
CPU
- Cores: 2
- Type: host
Memory
- Memory: 4096 MB (4 GB)
Reglas de Firewall clave:
ATTACK →
- Permitir salida a Internet
- Permitir todo hacia Victims net
VICTIMS →
- Permitir hacia Attacker net (respuestas)
- Permitir hacia Management net (RDP, WinRM)
- Bloquear salida a Internet
5. Inventario de Máquinas Recomendadas
| VM ID | Nombre | Red / Bridge | Rol | RAM | CPU | Almacenamiento | Prioridad |
|---|---|---|---|---|---|---|---|
| 100 | pfSense-FW | vmbr10 + otros | Firewall / Router | 4 GB | 2 | 32 GB | Hecha |
| 101 | Win11-Management | vmbr10 | PC de Gestión | 8 GB | 4 | 80 GB | Hecha |
| 200 | Kali-Attacker | vmbr20 | Máquina de Ataque (Red Team) | 12 GB | 6 | 80-100 GB | En progreso |
| 201 | DC-Server2022 | vmbr30 | Domain Controller + AD | 16 GB | 4 | 100 GB | Alta |
| 202 | Win11-Victima | vmbr30 | Cliente Windows (víctima) | 8 GB | 4 | 80 GB | Alta |
| 203 | Ubuntu-Vuln | vmbr30 | Servidor Web + DB vulnerable | 6 GB | 2 | 60 GB | Media |
| 300 | Wazuh-SIEM | vmbr40 | SIEM + Blue Team | 20-24 GB | 6 | 100 GB | Media-Alta |
Hoja de Ruta Recomendada
- Fase 1: Proxmox + Redes + pfSense
- Fase 2: Máquina de Gestión (Windows 11)
- Fase 3: Kali Linux (Atacante)
- Fase 4: Active Directory Lab (DC + Clientes)
- Fase 5: Máquinas vulnerables + Contenedores
- Fase 6: SIEM (Wazuh All-in-One)
- Fase 7: Automatización (Ansible/Terraform) + Escenarios avanzados
Crear VM Windows 11 – Management PC (Paso a paso)
- En Proxmox ve a tu nodo → botón Create VM (arriba derecha)
Rellena los campos de la siguiente manera:
General
- VM ID: 101
- Name: Win11-Management
- Start at boot: Marcado ✓
OS
- ISO image: Selecciona tu ISO de Windows 11 Enterprise Evaluation (o Pro)
- Guest OS: Microsoft Windows
- Version: 11
System
- BIOS: UEFI (importante para Windows 11)
- Machine: q35
- SCSI Controller: VirtIO SCSI single
- EFI Disk: Marcado ✓ (se crea automáticamente)
- Add TPM: Marcado ✓ (obligatorio para Windows 11)
Disks
- Bus/Device: VirtIO SCSI
- Storage: local-lvm (o tu disco principal)
- Disk size: 80 GB (o más si quieres)
- Cache: Write back
- Discard: Marcado ✓
CPU
- Cores: 4
- Type: host
- Sockets: 1
Memory
- Memory: 8192 MB (8 GB)
Network (Muy importante)
- Model: VirtIO (paravirtualizado)
- Bridge: vmbr10 ← Correcto
- Firewall: Marcado ✓
Haz clic en Finish para crear la VM.
Después de crear la VM
- Selecciona la VM Win11-Management → Hardware
- Asegúrate de que tienes:
- CD/DVD Drive con la ISO de Windows 11
- EFI Disk
- TPM
- Inicia la VM y abre la consola.
- Instala Windows 11 normalmente (elige «Custom» y borra la partición si es necesario).
Configuración de red después de instalar Windows 11
Una vez dentro de Windows 11:
- Ve a Configuración → Red e Internet → Ethernet
- Haz clic en Editar (o Propiedades de IPv4)
- Configura IP estática:
- IP Address: 192.168.10.50
- Subnet Mask: 255.255.255.0
- Gateway: 192.168.10.1
- DNS Preferido: 192.168.10.1 (o 8.8.8.8)
6. Configuración Detallada – Kali Linux (VM 200)
1. Creación de la VM en Proxmox
Ve a Create VM y configura lo siguiente:
| Sección | Configuración | Recomendación |
|---|---|---|
| VM ID | 200 | – |
| Name | Kali-Attacker | – |
| ISO | Kali Linux 2026.1 Installer (amd64) | Descargar la más reciente |
| BIOS | SeaBIOS o UEFI | SeaBIOS recomendado |
| Machine | q35 | – |
| CPU | 6 cores → Type: host | Puedes subir a 8 |
| RAM | 12288 MB (12 GB) | Ideal, puedes subir a 16 GB |
| Disco | 100 GB → VirtIO SCSI | – |
| Network | VirtIO → Bridge: vmbr20 | Red Atacante |
Opciones avanzadas recomendadas:
- SCSI Controller: VirtIO SCSI single
- Cache: Write back
- Discard: Marcado
2. Instalación de Kali Linux
Durante la instalación elige:
- Guided – use entire disk (partición completa)
- Desktop Environment: GNOME (recomendado)
- Instala todo lo que te pregunte (SSH server, etc.)
3. Configuración de Red (IP Estática)
Después de instalar y reiniciar:
sudo nano /etc/netplan/01-netcfg.yamlPega esta configuración:
network:
version: 2
renderer: networkd
ethernets:
eth0:
dhcp4: no
addresses: [192.168.20.50/24]
gateway4: 192.168.20.1
nameservers:
addresses: [192.168.20.1, 8.8.8.8, 1.1.1.1]Aplica los cambios:
sudo netplan applyVerifica:
ip addr show
ping 192.168.20.1
ping 8.8.8.84. Actualización y Herramientas Esenciales
# Actualizar sistema
sudo apt update && sudo apt full-upgrade -y
# Instalar herramientas básicas
sudo apt install -y git curl wget python3-pip bloodhound neo4j crackmapexec impacket-scripts responder feroxbuster nuclei
# Instalar herramientas de AD
sudo apt install -y bloodhound-python
# Actualizar herramientas de Kali
sudo kali-tweaks5. Configuraciones Recomendadas Post-Instalación
# Cambiar hostname
sudo hostnamectl set-hostname kali-attacker
sudo nano /etc/hosts # Actualiza el hostname
# SSH (opcional pero útil)
sudo systemctl enable ssh
sudo systemctl start ssh
# Firewall ligero
sudo ufw allow from 192.168.10.0/24 to any port 22 # Solo desde Management
sudo ufw enable6. Herramientas Adicionales Muy Recomendadas
# Instalar Sliver C2 (muy usado actualmente)
curl https://sliver.sh/install | sudo bash
# Covenant o Empire (opcional)
# Actualizar Metasploit
sudo msfdb init
msfupdate7. Configuración Final Recomendada
- IP: 192.168.20.50
- Gateway: 192.168.20.1 (pfSense)
- DNS: 192.168.20.1
7. Active Directory Lab (VM 201 + 202)
Crear VM 201 – DC-Server2022
En Proxmox → Create VM y configura exactamente así:
General
- VM ID: 201
- Name: DC-Server2022
- Start at boot: Marcado ✓
OS
- ISO image: Windows Server 2022 Evaluation ISO
- Guest OS: Microsoft Windows
- Version: 2022
System
- BIOS: UEFI
- Machine: q35
- SCSI Controller: VirtIO SCSI single
- EFI Disk: Marcado ✓
- Add TPM: Marcado ✓ (recomendado)
Disks
- Bus/Device: VirtIO SCSI
- Storage: local-lvm (o tu disco)
- Disk size: 100 GB
- Cache: Write back
- Discard: Marcado ✓
CPU
- Cores: 4
- Type: host
Memory
- Memory: 16384 MB (16 GB) ← Muy importante para Active Directory
Network (Clave)
- Model: VirtIO (paravirtualizado)
- Bridge: vmbr30 ← Red de Víctimas
- Firewall: Marcado ✓
Haz clic en Finish.
Durante la Instalación (Muy Importante)
Cuando llegues a la pantalla “Selecciona el sistema operativo que deseas instalar”:
Elige obligatoriamente una de estas dos:
- Windows Server 2022 Standard Evaluation (Desktop Experience)
- Windows Server 2022 Datacenter Evaluation (Desktop Experience)
→ No elijas las que solo dicen “Standard” o “Datacenter” (esas son Core / sin escritorio).
Después de crear la VM
- Inicia la VM y abre la consola.
- Instala Windows Server 2022 normalmente:
- Elige Windows Server 2022 Standard Evaluation (Desktop Experience)
- Configuración de red después de instalar Windows (muy importante):Ve a Configuración → Red e Internet → Ethernet → Propiedades de IPv4 y pon:
- IP Address: 192.168.30.10
- Subnet Mask: 255.255.255.0
- Gateway: 192.168.30.1 (IP de pfSense en la red Victims)
- DNS Preferido: 192.168.30.10 (él mismo, porque será el DC)
Domain Controller (DC01 – 192.168.30.10)
Pasos principales:
- Instalar rol Active Directory Domain Services
- Crear dominio: lab.local
- Crear estructura:
- OU = Employees, IT, Servers
- Usuarios (Administrator, jdoe, msmith, svc_sql, etc.)
- Grupos (Domain Admins, Helpdesk, etc.)
Cliente Windows 11 (VM 202)
- Unir al dominio lab.local
- IP: 192.168.30.50
8. Wazuh All-in-One (Blue Team)
1. Creación de la VM para Wazuh
En Proxmox crea una nueva VM con estos parámetros:
| Campo | Valor recomendado |
|---|---|
| VM ID | 300 |
| Name | Wazuh-SIEM |
| ISO | Ubuntu Server 24.04 LTS |
| BIOS | UEFI |
| CPU | 6 cores (Type: host) |
| RAM | 24576 MB (24 GB) ← Muy importante |
| Disco | 100 GB (VirtIO SCSI) |
| Network | VirtIO → Bridge: vmbr40 |
2. Instalación de Ubuntu Server
Durante la instalación de Ubuntu:
- Idioma: English
- Keyboard: Spanish o la que uses
- Network: Configura IP estática:
- IP: 192.168.40.10
- Gateway: 192.168.40.1
- DNS: 192.168.40.1
- Nombre del servidor: wazuh
- Usuario: admin (o el que prefieras)
- Instala OpenSSH server
3. Instalación de Wazuh All-in-One (El paso más importante)
Después de instalar Ubuntu y entrar por primera vez, ejecuta estos comandos uno por uno:
Bash
# 1. Actualizar el sistema
sudo apt update && sudo apt upgrade -y
# 2. Instalar Wazuh All-in-One (este comando instala todo: Indexer, Server, Dashboard)
curl -sO https://packages.wazuh.com/4.8/wazuh-install.sh && bash wazuh-install.sh -aEste proceso puede tardar 10 a 20 minutos.
4. Finalización e Información de Acceso
Cuando termine la instalación, verás algo como esto:
Bash
Wazuh installation finished.
Username: admin
Password: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXGuarda bien la contraseña que te genera.
Accede al Dashboard desde tu Windows 11 Management:
→ https://192.168.40.10
Usuario: admin Contraseña: la que te generó Wazuh
5. Configuración Básica Post-Instalación
Bash
# Ver estado de los servicios
sudo systemctl status wazuh-manager
sudo systemctl status wazuh-indexer
sudo systemctl status wazuh-dashboardPara añadir agentes más adelante (Windows Server, Kali, etc.) usarás el comando que te dará Wazuh.
9. Mejores Prácticas y Consejos
- Haz snapshots antes de cada ataque grande.
- Usa Guacamole para acceso web centralizado a todas las VMs.
- Mantén siempre actualizado Proxmox y pfSense.
- Documenta todos los escenarios que pruebas.
- Nunca des salida directa a internet a las máquinas Victims.
10. Escenarios de Práctica Recomendados
Nivel Básico:
- Escaneo y enumeración con Nmap
- Explotación de vulnerabilidades conocidas (Metasploit)
Nivel Intermedio:
- Kerberoasting + AS-REP Roasting
- Pass-the-Hash / Pass-the-Ticket
- Lateral Movement en Active Directory
Nivel Avanzado:
- DCSync Attack
- Silver/Golden Ticket
- Simulación de Ransomware
- Detección y respuesta con Wazuh
