Lab 04 — pon un firewall en medio.
Un laboratorio plano donde cada VM puede llegar a todas las demás enseña malos hábitos. Añade pfSense, divide la red y demuestra con nmap que los muros aguantan.
Al llegar al Lab 03, tu laboratorio ya tiene atacante, objetivo y monitorización, pero todos comparten una única red plana donde todo puede llegar a todo. Las redes reales no se construyen así, y tu laboratorio tampoco debería. En este lab añades pfSense, un firewall gratuito y de código abierto, como router en medio; luego divides el laboratorio en segmentos aislados y demuestras que el aislamiento funciona de verdad.
Esto importa más allá del orden. La segmentación es uno de los controles más eficaces que existen: es lo que impide que una máquina comprometida acabe siendo todas las máquinas. Practicarla en un laboratorio es la forma de que el concepto deje de ser una abstracción.
La topología que vas a construir
Acabarás con pfSense sosteniendo dos segmentos internos más un enlace de salida:
| Segmento | Función |
|---|---|
| WAN | El enlace de salida de pfSense hacia el exterior (un adaptador NAT), para que las VM del laboratorio puedan descargar actualizaciones sin quedar expuestas. |
| LAN-A ("de confianza") | Tu VM de atacante/analista (por ejemplo, una máquina Kali o de análisis). |
| LAN-B ("objetivos") | Las máquinas deliberadamente vulnerables del Lab 02, amuralladas lejos de todo lo que te importa. |
Todo el sentido está en que LAN-B no pueda iniciar conexiones hacia LAN-A, mientras que LAN-A sí puede llegar a LAN-B para las pruebas. Esa asimetría refleja cómo aislarías sistemas no confiables en producción.
Instala y coloca pfSense
- Crea una nueva VM a partir de la ISO del instalador de pfSense. Dale dos o tres adaptadores de red: uno NAT (WAN) y uno o dos adaptadores internos/host-only (los segmentos LAN).
- Ejecuta el instalador: es un proceso guiado y basado en texto. Al arrancar, pfSense asigna WAN y LAN automáticamente; tú confirmas qué adaptador es cada uno por su dirección MAC.
- Desde una VM en el lado LAN, abre en el navegador la interfaz web de pfSense (por defecto
https://192.168.1.1) y completa el asistente de configuración. Cambia de inmediato la contraseña de admin por defecto: es un hábito, incluso en un laboratorio.
Escribe las reglas mínimas
pfSense viene por defecto con "bloquear todo el tráfico entrante" en WAN y "permitir todo" en LAN. Vas a apretar el lado interno. En la interfaz LAN-B (objetivos), sustituye el permiso total por defecto con reglas que:
- Permitan a LAN-B llegar a la WAN (para que los objetivos puedan actualizarse), pero no a la subred LAN-A.
- Bloqueen explícitamente LAN-B → LAN-A. Este es el muro: un objetivo comprometido no puede pivotar hacia tu máquina de analista.
- En LAN-A, permitan LAN-A → LAN-B para que sigas pudiendo ejecutar tus pruebas contra los objetivos.
El orden importa en pfSense: las reglas se evalúan de arriba abajo y gana la primera coincidencia. Coloca la regla de bloqueo por encima de cualquier permiso amplio. Este conjunto mínimo de reglas es toda la lección: mínimo privilegio expresado como política de firewall.
Verifica con nmap — contra tus propios hosts
Las reglas que no has probado no son más que buenos deseos. Desde tu VM de analista en LAN-A, escanea un objetivo en LAN-B para confirmar que sí puedes llegar a él:
# desde LAN-A, escaneando TU PROPIO objetivo en LAN-B
nmap -sV 10.10.20.10
Luego haz lo contrario: desde un objetivo en LAN-B, intenta escanear la máquina de analista en LAN-A. Debería agotar el tiempo de espera o no devolver nada: la regla de bloqueo de pfSense está haciendo su trabajo. Si el escaneo inverso tiene éxito, tu orden de reglas o la asignación de interfaces está mal; corrígelo y vuelve a probar. Ese ida y vuelta —cambiar una regla, verificar con un escaneo— es exactamente el bucle que ejecuta quien defiende una red, y ahora controlas los dos extremos.
Errores comunes que revisar primero
Si la segmentación se comporta de forma inesperada, tres cosas causan casi todos los problemas:
- Adaptadores mapeados al segmento equivocado. En el hipervisor, comprueba dos veces qué adaptador virtual es WAN, cuál es LAN-A y cuál LAN-B. Un adaptador mal etiquetado hace que reglas que parecen correctas se apliquen al tráfico equivocado. pfSense identifica las interfaces por su MAC; emparéjalas con cuidado.
- Orden de las reglas. pfSense se detiene en la primera regla que coincide. Un "permitir de LAN a cualquiera" amplio situado por encima de tu regla de bloqueo la anula en silencio. Mantén el bloqueo específico por encima del permiso general.
- Estados obsoletos. pfSense mantiene una tabla de estados de las conexiones existentes. Tras cambiar una regla, reinicia los estados (Diagnostics → States → Reset) para que lo que estés midiendo no sea una conexión ya abierta.
Recorre esos puntos por orden y el aislamiento se comporta. El hábito de fiarte de un escaneo de verificación por encima de una regla que "sabes" que es correcta vale más que el propio conocimiento de pfSense: es la mentalidad que caza configuraciones erróneas reales en redes reales.
