En mi Laboratorio de Ciberseguridad Profesional con Proxmox y pfSense – Guía Paso a PasoUn entorno segmentado completo para Red Team, Blue Team y preparación de certificaciones (OSCP, CRTP, eJPT, etc.)
Introducción
En este artículo detallo cómo monté mi laboratorio de ciberseguridad aislado y profesional utilizando un Dell Precision Tower 5810 (Xeon E5-2697A v4, 128 GB RAM, Quadro P2000).
Este laboratorio está diseñado para simular un entorno empresarial real de forma segura y controlada. Utiliza Proxmox VE como hipervisor y pfSense como firewall para crear una infraestructura completamente segmentada.
Objetivos:
Entorno profesional y reproducible
Aprender Red Teaming y Blue Teaming simultáneamente
Preparación para OSCP, CRTP, PNPT, eJPT, etc.
Evitar fugas de malware a internet
1. Hardware y Software Base
- Servidor: Dell Precision Tower 5810
- CPU: Xeon E5-2697A v4 (16c/32t)
- RAM: 128 GB DDR4
- Hipervisor: Proxmox VE 9.2
- Firewall: pfSense CE 2.8.x
- Almacenamiento: SSD 1 TB (recomendado ampliar)
2. Arquitectura de Red (4 VLANs / Bridges)
| Bridge | VLAN | Nombre | Subred | Propósito |
|---|---|---|---|---|
| vmbr10 | 10 | Management | 192.168.10.0/24 | Gestión (Proxmox, pfSense, acceso) |
| vmbr20 | 20 | Attacker (Red) | 192.168.20.0/24 | Máquinas de ataque (Kali), Kali Linux y herramientas |
| vmbr30 | 30 | Victims | 192.168.30.0/24 | Máquinas a atacar |
| vmbr40 | 40 | Blue Team | 192.168.40.0/24 | SIEM, Wazuh, Elastic, y herramientas defensivas |
3. Instalación Base
- Instalación de Proxmox VE 9.1
- Configuración de los 4 Linux Bridges (/etc/network/interfaces)
- Actualización del sistema
«Nota: Para visualizar correctamente y copiar sin errores los siguientes archivos de configuración del hipervisor, hemos mejorado los contenedores de código de nuestra plataforma utilizando las plantillas de desarrollo explicadas en nuestro artículo sobre Code Block Pro.»
Configuración recomendada de /etc/network/interfaces (adaptada a mi Dell):
auto lo
iface lo inet loopback
iface nic0 inet manual
auto vmbr10
iface vmbr10 inet static
address 192.168.1.200/24
gateway 192.168.1.1
bridge-ports nic0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 10 20 30 40
auto vmbr20
iface vmbr20 inet manual
bridge-ports none
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
auto vmbr30
iface vmbr30 inet manual
bridge-ports none
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
auto vmbr40
iface vmbr40 inet manual
bridge-ports none
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes4. pfSense – El Corazón del Laboratorio
Crear la VM de pfSense (Paso a paso)
En la interfaz web de Proxmox ve a tu nodo → botón Create VM (arriba a la derecha).
Rellena así:
General
- VM ID: 100
- Name: pfSense-FW
- Start at boot: Marcado
OS
- ISO image: Selecciona tu ISO de pfSense
- Guest OS: Linux
System
- BIOS: SeaBIOS
- Machine: q35
- SCSI Controller: VirtIO SCSI single
Disks
- Bus/Device: VirtIO SCSI
- Storage: elige local-lvm o tu disco principal
- Disk size: 32 GB
- Cache: Write back
- Discard: Marcado
CPU
- Cores: 2
- Type: host
Memory
- Memory: 4096 MB (4 GB)
Reglas de Firewall clave:
ATTACK →
- Permitir salida a Internet
- Permitir todo hacia Victims net
VICTIMS →
- Permitir hacia Attacker net (respuestas)
- Permitir hacia Management net (RDP, WinRM)
- Bloquear salida a Internet
5. Inventario de Máquinas Recomendadas
| VM ID | Nombre | Red / Bridge | Rol | RAM | CPU | Almacenamiento | Prioridad |
|---|---|---|---|---|---|---|---|
| 100 | pfSense-FW | vmbr10 + otros | Firewall / Router | 4 GB | 2 | 32 GB | Hecha |
| 101 | Win11-Management | vmbr10 | PC de Gestión | 8 GB | 4 | 80 GB | Hecha |
| 200 | Kali-Attacker | vmbr20 | Máquina de Ataque (Red Team) | 12 GB | 6 | 80-100 GB | En progreso |
| 201 | DC-Server2022 | vmbr30 | Domain Controller + AD | 16 GB | 4 | 100 GB | Alta |
| 202 | Win11-Victima | vmbr30 | Cliente Windows (víctima) | 8 GB | 4 | 80 GB | Alta |
| 203 | Ubuntu-Vuln | vmbr30 | Servidor Web + DB vulnerable | 6 GB | 2 | 60 GB | Media |
| 300 | Wazuh-SIEM | vmbr40 | SIEM + Blue Team | 20-24 GB | 6 | 100 GB | Media-Alta |
Hoja de Ruta Recomendada
- Fase 1: Proxmox + Redes + pfSense
- Fase 2: Máquina de Gestión (Windows 11)
- Fase 3: Kali Linux (Atacante)
- Fase 4: Active Directory Lab (DC + Clientes)
- Fase 5: Máquinas vulnerables + Contenedores
- Fase 6: SIEM (Wazuh All-in-One)
- Fase 7: Automatización (Ansible/Terraform) + Escenarios avanzados
Crear VM Windows 11 – Management PC (Paso a paso)
- En Proxmox ve a tu nodo → botón Create VM (arriba derecha)
Rellena los campos de la siguiente manera:
General
- VM ID: 101
- Name: Win11-Management
- Start at boot: Marcado ✓
OS
- ISO image: Selecciona tu ISO de Windows 11 Enterprise Evaluation (o Pro)
- Guest OS: Microsoft Windows
- Version: 11
System
- BIOS: UEFI (importante para Windows 11)
- Machine: q35
- SCSI Controller: VirtIO SCSI single
- EFI Disk: Marcado ✓ (se crea automáticamente)
- Add TPM: Marcado ✓ (obligatorio para Windows 11)
Disks
- Bus/Device: VirtIO SCSI
- Storage: local-lvm (o tu disco principal)
- Disk size: 80 GB (o más si quieres)
- Cache: Write back
- Discard: Marcado ✓
CPU
- Cores: 4
- Type: host
- Sockets: 1
Memory
- Memory: 8192 MB (8 GB)
Network (Muy importante)
- Model: VirtIO (paravirtualizado)
- Bridge: vmbr10 ← Correcto
- Firewall: Marcado ✓
Haz clic en Finish para crear la VM.
Después de crear la VM
- Selecciona la VM Win11-Management → Hardware
- Asegúrate de que tienes:
- CD/DVD Drive con la ISO de Windows 11
- EFI Disk
- TPM
- Inicia la VM y abre la consola.
- Instala Windows 11 normalmente (elige «Custom» y borra la partición si es necesario).

Configuración de red después de instalar Windows 11
Una vez dentro de Windows 11:
- Ve a Configuración → Red e Internet → Ethernet
- Haz clic en Editar (o Propiedades de IPv4)
- Configura IP estática:
- IP Address: 192.168.10.50
- Subnet Mask: 255.255.255.0
- Gateway: 192.168.10.1
- DNS Preferido: 192.168.10.1 (o 8.8.8.8)
6. Configuración Detallada – Kali Linux (VM 200)
1. Creación de la VM en Proxmox
Ve a Create VM y configura lo siguiente:
| Sección | Configuración | Recomendación |
|---|---|---|
| VM ID | 200 | – |
| Name | Kali-Attacker | – |
| ISO | Kali Linux 2026.1 Installer (amd64) | Descargar la más reciente |
| BIOS | SeaBIOS o UEFI | SeaBIOS recomendado |
| Machine | q35 | – |
| CPU | 6 cores → Type: host | Puedes subir a 8 |
| RAM | 12288 MB (12 GB) | Ideal, puedes subir a 16 GB |
| Disco | 100 GB → VirtIO SCSI | – |
| Network | VirtIO → Bridge: vmbr20 | Red Atacante |
Opciones avanzadas recomendadas:
- SCSI Controller: VirtIO SCSI single
- Cache: Write back
- Discard: Marcado
2. Instalación de Kali Linux
Durante la instalación elige:
- Guided – use entire disk (partición completa)
- Desktop Environment: GNOME (recomendado)
- Instala todo lo que te pregunte (SSH server, etc.)
3. Configuración de Red (IP Estática)
Después de instalar y reiniciar:
sudo nano /etc/netplan/01-netcfg.yamlPega esta configuración:
network:
version: 2
renderer: networkd
ethernets:
eth0:
dhcp4: no
addresses: [192.168.20.50/24]
gateway4: 192.168.20.1
nameservers:
addresses: [192.168.20.1, 8.8.8.8, 1.1.1.1]Aplica los cambios:
sudo netplan applyVerifica:
ip addr show
ping 192.168.20.1
ping 8.8.8.84. Actualización y Herramientas Esenciales
<em># Actualizar sistema</em>
sudo apt update && sudo apt full-upgrade -y
<em># Instalar herramientas básicas</em>
sudo apt install -y git curl wget python3-pip bloodhound neo4j crackmapexec impacket-scripts responder feroxbuster nuclei
<em># Instalar herramientas de AD</em>
sudo apt install -y bloodhound-python
<em># Actualizar herramientas de Kali</em>
sudo kali-tweaks5. Configuraciones Recomendadas Post-Instalación
<em># Cambiar hostname</em>
sudo hostnamectl set-hostname kali-attacker
sudo nano /etc/hosts<em> # Actualiza el hostname</em>
<em># SSH (opcional pero útil)</em>
sudo systemctl enable ssh
sudo systemctl start ssh
<em># Firewall ligero</em>
sudo ufw allow from 192.168.10.0/24 to any port 22<em> # Solo desde Management</em>
sudo ufw enable6. Herramientas Adicionales Muy Recomendadas
<em># Instalar Sliver C2 (muy usado actualmente)</em>
curl https://sliver.sh/install | sudo bash
<em># Covenant o Empire (opcional)</em>
<em># Actualizar Metasploit</em>
sudo msfdb init
msfupdate
7. Configuración Final Recomendada
- IP: 192.168.20.50
- Gateway: 192.168.20.1 (pfSense)
- DNS: 192.168.20.1
7. Active Directory Lab (VM 201 + 202)
Crear VM 201 – DC-Server2022
En Proxmox → Create VM y configura exactamente así:
General
- VM ID: 201
- Name: DC-Server2022
- Start at boot: Marcado ✓
OS
- ISO image: Windows Server 2022 Evaluation ISO
- Guest OS: Microsoft Windows
- Version: 2022
System
- BIOS: UEFI
- Machine: q35
- SCSI Controller: VirtIO SCSI single
- EFI Disk: Marcado ✓
- Add TPM: Marcado ✓ (recomendado)
Disks
- Bus/Device: VirtIO SCSI
- Storage: local-lvm (o tu disco)
- Disk size: 100 GB
- Cache: Write back
- Discard: Marcado ✓
CPU
- Cores: 4
- Type: host
Memory
- Memory: 16384 MB (16 GB) ← Muy importante para Active Directory
Network (Clave)
- Model: VirtIO (paravirtualizado)
- Bridge: vmbr30 ← Red de Víctimas
- Firewall: Marcado ✓
Haz clic en Finish.
Durante la Instalación (Muy Importante)

Cuando llegues a la pantalla “Selecciona el sistema operativo que deseas instalar”:
Elige obligatoriamente una de estas dos:
- Windows Server 2022 Standard Evaluation (Desktop Experience)
- Windows Server 2022 Datacenter Evaluation (Desktop Experience)
→ No elijas las que solo dicen “Standard” o “Datacenter” (esas son Core / sin escritorio).
Después de crear la VM
- Inicia la VM y abre la consola.
- Instala Windows Server 2022 normalmente:
- Elige Windows Server 2022 Standard Evaluation (Desktop Experience)
- Configuración de red después de instalar Windows (muy importante):Ve a Configuración → Red e Internet → Ethernet → Propiedades de IPv4 y pon:
- IP Address: 192.168.30.10
- Subnet Mask: 255.255.255.0
- Gateway: 192.168.30.1 (IP de pfSense en la red Victims)
- DNS Preferido: 192.168.30.10 (él mismo, porque será el DC)
Domain Controller (DC01 – 192.168.30.10)
Pasos principales:
- Instalar rol Active Directory Domain Services
- Crear dominio: lab.local
- Crear estructura:
- OU = Employees, IT, Servers
- Usuarios (Administrator, jdoe, msmith, svc_sql, etc.)
- Grupos (Domain Admins, Helpdesk, etc.)
Cliente Windows 11 (VM 202)
- Unir al dominio lab.local
- IP: 192.168.30.50
8. Wazuh All-in-One (Blue Team)
1. Creación de la VM para Wazuh
En Proxmox crea una nueva VM con estos parámetros:
| Campo | Valor recomendado |
|---|---|
| VM ID | 300 |
| Name | Wazuh-SIEM |
| ISO | Ubuntu Server 24.04 LTS |
| BIOS | UEFI |
| CPU | 6 cores (Type: host) |
| RAM | 24576 MB (24 GB) ← Muy importante |
| Disco | 100 GB (VirtIO SCSI) |
| Network | VirtIO → Bridge: vmbr40 |
2. Instalación de Ubuntu Server
Durante la instalación de Ubuntu:
- Idioma: English
- Keyboard: Spanish o la que uses
- Network: Configura IP estática:
- IP: 192.168.40.10
- Gateway: 192.168.40.1
- DNS: 192.168.40.1
- Nombre del servidor: wazuh
- Usuario: admin (o el que prefieras)
- Instala OpenSSH server
3. Instalación de Wazuh All-in-One (El paso más importante)
Después de instalar Ubuntu y entrar por primera vez, ejecuta estos comandos uno por uno:
Bash
<em># 1. Actualizar el sistema</em>
sudo apt update && sudo apt upgrade -y
<em># 2. Instalar Wazuh All-in-One (este comando instala todo: Indexer, Server, Dashboard)</em>
curl -sO https://packages.wazuh.com/4.8/wazuh-install.sh && bash wazuh-install.sh -aEste proceso puede tardar 10 a 20 minutos.
4. Finalización e Información de Acceso
Cuando termine la instalación, verás algo como esto:
Bash
Wazuh installation finished.
Username: admin
Password: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXGuarda bien la contraseña que te genera.
Accede al Dashboard desde tu Windows 11 Management:
→ https://192.168.40.10
Usuario: admin Contraseña: la que te generó Wazuh
5. Configuración Básica Post-Instalación
Bash
<em># Ver estado de los servicios</em>
sudo systemctl status wazuh-manager
sudo systemctl status wazuh-indexer
sudo systemctl status wazuh-dashboardPara añadir agentes más adelante (Windows Server, Kali, etc.) usarás el comando que te dará Wazuh.
9. Mejores Prácticas y Consejos
- Haz snapshots antes de cada ataque grande.
- Usa Guacamole para acceso web centralizado a todas las VMs.
- Mantén siempre actualizado Proxmox y pfSense.
- Documenta todos los escenarios que pruebas.
- Nunca des salida directa a internet a las máquinas Victims.
10. Escenarios de Práctica Recomendados
Nivel Básico:
- Escaneo y enumeración con Nmap
- Explotación de vulnerabilidades conocidas (Metasploit)
Nivel Intermedio:
- Kerberoasting + AS-REP Roasting
- Pass-the-Hash / Pass-the-Ticket
- Lateral Movement en Active Directory
Nivel Avanzado:
- DCSync Attack
- Silver/Golden Ticket
- Simulación de Ransomware
- Detección y respuesta con Wazuh
Ahora que ya tienes configurado tu Laboratorio de Ciberseguridad Profesional con Proxmox, comenta que te ha parecido.







