NAKIVO > Blog > Proxmox VE

Proteger Proxmox Home Lab: una guía paso a paso

Publicado: febrero 3, 2026

Escrito por: Equipo NAKIVO

Para comprender mejor las funciones y capacidades de Proxmox, los nuevos usuarios prefieren crear un entorno de prueba utilizando un host Proxmox denominado «laboratorio doméstico Proxmox». Es necesario garantizar las medidas de seguridad adecuadas para la configuración de su laboratorio doméstico Proxmox. Esta entrada del blog trata sobre las prácticas recomendadas de seguridad de Proxmox que debe implementar para evitar la pérdida de datos y protegerse contra las amenazas cibernéticas.

NAKIVO for Proxmox Backup

NAKIVO for Proxmox Backup

Agentless, app-aware backup for Proxmox VE with multiple targets, including immutable cloud backups. Multiple instant granular recovery and full recovery options.

Discover Solution

Por qué es esencial proteger el laboratorio doméstico de Proxmox

Sin las medidas de seguridad adecuadas, su entorno Proxmox puede volverse vulnerable a las amenazas cibernéticas, las violaciones de datos y el acceso no autorizado. La seguridad del laboratorio doméstico Proxmox es fundamental tanto para fines personales como profesionales. Los usuarios no autorizados que acceden a un host Proxmox pueden suponer una amenaza para el host, las máquinas virtuales, los dispositivos NAS y otros hosts conectados a la red. El acceso no autorizado puede provocar infecciones de malware y ransomware, lo que causa fugas y pérdidas de datos. Dado que los hosts Proxmox suelen ejecutarse en hardware físico, los atacantes pueden utilizar estos recursos de hardware para minar criptomonedas, llevar a cabo otras actividades ciberdelictivas, convertir un host Proxmox en parte de una botnet, ejecutar scripts maliciosos, etc. Estos factores pueden reducir significativamente el rendimiento del host y de las máquinas virtuales.

Medidas de seguridad esenciales para Proxmox

Para reducir los riesgos de acceso no autorizado a un laboratorio doméstico Proxmox, debe comprender cómo proteger el entorno Proxmox e implementar las prácticas de seguridad esenciales.

Establezca contraseñas seguras y habilite la autenticación de dos factores (2FA)

El uso de contraseñas seguras para las cuentas de administración es la primera línea de defensa. Utilice contraseñas únicas de 8 caracteres o más. La contraseña debe contener letras minúsculas y mayúsculas, dígitos y caracteres especiales. Puede utilizar frases de contraseña que cumplan estos requisitos para que sean más fáciles de recordar. Una contraseña segura que cumpla los requisitos de complejidad es una barrera para los atacantes, ya que los ataques de fuerza bruta no pueden hackearla fácilmente. Para mejorar la seguridad, puede configurar la autenticación de dos factores ( autenticación multifactorial , MFA o 2FA). Proxmox admite la configuración de la autenticación de dos factores de múltiples maneras, como el uso de una contraseña de un solo uso basada en la hora (TOTP) o YubiKey OTP. Puede editar los ajustes de autenticación en Permisos > Autenticación de dos factores en la interfaz web de Proxmox VE.

Fortalecer el acceso SSH

La gestión de Proxmox se realiza a través de la interfaz gráfica de usuario web, pero la configuración más detallada se puede realizar en la línea de comandos a través de una conexión SSH. Hay un servidor SSH disponible en un host Proxmox, similar al de las máquinas Linux para la gestión de hosts. Si los atacantes pueden obtener acceso SSH al host, pueden obtener acceso completo y ejecutar malware. Puede implementar medidas de seguridad adicionales para reducir el riesgo de acceso no autorizado. Por ejemplo, puede cambiar el puerto SSH estándar (22) a un puerto personalizado (9522). Desactive los inicios de sesión como root y utilice sudo para obtener privilegios de administración. El uso de claves públicas en lugar de contraseñas para iniciar sesión a través de SSH requiere una configuración más compleja, pero puede proporcionar una mayor seguridad.

Implemente VLAN para la segmentación de la red

Debe considerar la configuración de una VLAN si desea conectar cualquier dispositivo que pueda ser vulnerable a una red conectada a un host Proxmox o a máquinas virtuales. Las VLAN se utilizan para la segmentación de la red en la segunda capa del modelo OSI, lo que le permite separar lógicamente los dispositivos de la misma red física. Algunos ejemplos de VLAN en Proxmox VE utilizadas para un laboratorio doméstico son:

  • VLAN de gestión: Solo para la GUI de Proxmox, SSH y herramientas de administración.
  • VLAN de máquinas virtuales: Para cargas de trabajo específicas, como servidores web, bases de datos o entornos de desarrollo.
  • VLAN de almacenamiento: Dedicada a NAS, NFS, iSCSI o Proxmox Backup Server.
  • VLAN de IoT: Separa los dispositivos domésticos inteligentes de la infraestructura crítica.

El uso de VLAN minimiza la superficie de ataque y ofrece las siguientes ventajas:

  • Limita la propagación de malware entre diferentes VLAN.
  • Impide que las máquinas virtuales comprometidas accedan a la gestión de Proxmox.
  • Aplica un control de acceso estricto entre servicios.

Por ejemplo, si el malware infecta una máquina virtual conectada a la VLAN 20 y se propaga por la red, no podrá acceder a la interfaz de gestión del host Proxmox conectada a la VLAN 10. Se recomienda configurar el cortafuegos Proxmox y las reglas del cortafuegos en la tercera capa del modelo OSI, además de configurar las VLAN en la segunda capa.

  • Permite el acceso SSH a Proxmox solo desde la VLAN 10 de ADMIN (192.168.10.0/24).
  • Denegar todas las comunicaciones entre la VLAN 30 de invitado (192.168.30.0/24) y la VLAN de gestión de Proxmox.
  • Permita el acceso NAS solo a las máquinas virtuales que lo requieran, no a toda la red.

En la tabla se muestra un ejemplo de arquitectura VLAN para un laboratorio doméstico Proxmox.

ID de VLAN Propósito Subred Acceso
10 GESTIÓN 192.168.10.0/24 Proxmox GUI, SSH, Gestión del hipervisor
20 Red de servidores/máquinas virtuales 192.168.20.0/24 Servidores web, servidores de aplicaciones, máquinas virtuales de bases de datos
30 VLAN invitada 192.168.30.0/24 Dispositivos con confianza mínima (portátiles invitados, IoT)
40 VLAN de almacenamiento 192.168.40.0/24 NFS, iSCSI, NAS, Servidor de backup Proxmox
50 DMZ (acceso público) 192.168.50.0/24 Servidores web públicos, proxies inversos

Utilice un conmutador gestionado para crear VLAN y etiquetar los puertos conectados a Proxmox. Las VLAN se pueden crear en la configuración de red de Proxmox editando /etc/network/interfaces A continuación se muestra un ejemplo del contenido del archivo de configuración para crear VLAN en interfaces puenteadas: auto vmbr0 iface vmbr0 inet manual bridge-puertos eno1 bridge-stp off bridge-fd 0 # VLAN de gestión (ID 10) auto vmbr0.10 interfaz vmbr0.10 inet estática dirección 192.168.10.2/24 vlan-raw-device vmbr0 # VLAN de máquina virtual (ID 20) auto vmbr0.20 iface vmbr0.20 inet static dirección 192.168.20.2/24 vlan-raw-device vmbr0

Restringir el acceso innecesario a los puertos

Los atacantes pueden aprovechar los puertos abiertos para diferentes servicios para acceder a un host Proxmox a través de vulnerabilidades existentes. Cierre el acceso a través de puertos innecesarios utilizando el cortafuegos o restrinja el acceso a la dirección IP de Proxmox y a puertos específicos solo para permitir direcciones IP de confianza definidas manualmente. Dado que Proxmox es un sistema basado en Linux , Proxmox VE utiliza un potente cortafuegos basado en iptables. Si utiliza un clúster Proxmox, el cortafuegos almacena la configuración y se ejecuta en cada nodo del clúster. Para acceder a la configuración del cortafuegos Proxmox en la interfaz web de Proxmox VE, vaya a Datacenter > Firewall > Security rules y añada un nuevo grupo con reglas de cortafuegos personalizadas.

Configurar una máquina virtual de firewall o enrutador

Ejecutar el firewall en un host o clúster Proxmox puede proteger más que solo los hosts Proxmox en un laboratorio doméstico Proxmox. Puede configurar una máquina virtual dedicada que se utilice para tareas de firewall con el fin de proteger toda la red y todos los dispositivos conectados. Esta configuración se conoce comúnmente como arquitectura de «firewall virtual» o «máquina virtual de firewall». Las soluciones de firewall más populares, como pfSense, OPNsense o los firewalls basados en Linux, como iptables, se pueden instalar de esta manera. Tenga en cuenta que esta configuración de laboratorio doméstico Proxmox con una máquina virtual de firewall podría resultar conveniente si el host Proxmox se ejecuta de forma continua. Si se apaga periódicamente, la máquina virtual de firewall utilizada para toda la red también se apaga. Esto puede causar problemas si la máquina virtual de firewall se utiliza para el acceso a Internet de todos los dispositivos de la red (en este caso, puede ser más conveniente utilizar un dispositivo físico configurado como firewall). Debe examinar las ventajas y desventajas de esta configuración para su entorno antes de decidir si utilizar la máquina virtual de firewall.

Cifrar discos ZFS para la protección de datos

Si utiliza el sistema de archivos ZFS en un host Proxmox y necesita el máximo nivel de seguridad, considere la posibilidad de habilitar el cifrado ZFS para Proxmox con el fin de cifrar los grupos de almacenamiento y evitar el acceso no autorizado a las unidades de disco con datos. Tenga cuidado antes de realizar cualquier operación con discos y sistemas de archivos. Haga un backup de los datos importantes antes de cambiar la configuración de almacenamiento. Ejemplo de cifrado de un grupo ZFS en un host Proxmox: zfs create pool-name/safe -o cifrado=on -o keyformat=passphrase

Nunca exponga Proxmox a la Internet pública

No habilite el acceso público a un host Proxmox desde Internet. Si necesita proporcionar acceso al host Proxmox desde ubicaciones externas, configure el firewall para permitir el acceso desde direcciones IP específicas a su host Proxmox definiendo explícitamente las direcciones IP y los números de puerto. Puede utilizar el reenvío de puertos en el firewall para este fin. Como alternativa, configure un servidor VPN en su entorno donde se encuentre un laboratorio doméstico Proxmox y utilice una conexión VPN para acceder a un host Proxmox desde redes externas.

Supervisión y auditoría Seguridad de Proxmox

Supervisión Los hosts Proxmox en un laboratorio doméstico pueden ayudar a mejorar el nivel de seguridad general. Realice la supervisión de los registros en un host Proxmox y controle el uso de la CPU, la RAM y el disco. Asegúrese de que los registros integrados de Proxmox estén habilitados:

  • Syslog: /var/log/syslog – Registros generales del sistema.
  • Autenticación: /var/log/auth.log – Intentos de inicio de sesión a través de SSH y GUI.
  • Registros específicos de Proxmox: /var/log/pve/ – Registros relacionados con los servicios de Proxmox.

Además, puede utilizar herramientas especiales de supervisión centralizada (soluciones gratuitas o de pago) para supervisar los hosts Proxmox y los sistemas operativos invitados en máquinas virtuales. Configure alertas y notificaciones para solucionar rápidamente los posibles problemas lo antes posible. Preste atención a las siguientes condiciones al configurar las autenticaciones automáticas:

  • Más de 5 intentos fallidos de inicio de sesión SSH en 5 minutos.
  • El uso de la CPU de una máquina virtual se mantiene por encima del 90 % durante más de 10 minutos.
  • Detección de un puerto abierto inesperado en el host Proxmox.

Realice auditorías y análisis de seguridad periódicos. Instale parches de seguridad y actualizaciones con regularidad para solucionar las vulnerabilidades conocidas. Inspeccione las reglas del firewall para asegurarse de que son óptimas, teniendo en cuenta los últimos cambios en la infraestructura.

Proteger Backups de Proxmox contra el ransomware

Los backups de Proxmox le permiten proteger los datos en un entorno virtual Proxmox. Realice backups periódicos de las máquinas virtuales y guarde los backups en un lugar seguro. Si el ransomware infecta las máquinas virtuales y realiza el cifrado de los datos de forma irreversible, puede recuperar sus backups para evitar la pérdida de datos. Sin embargo, los backups también son un objetivo para el ransomware. Asegúrese de que solo los usuarios autorizados puedan acceder al almacenamiento y a las aplicaciones de backup.Utilice almacenamiento aislado de la red y inmutabilidad de los backups para garantizar una protección óptima contra el ransomware para su laboratorio doméstico Proxmox y los backups de Proxmox. El almacenamiento aislado de la red puede ser una unidad de disco duro (HDD) desconectada físicamente, un disco óptico, un cartucho de cinta, etc. La inmutabilidad de los backups es una función que utiliza el enfoque de escritura única y lectura múltiple (WORM). Una vez que los datos se escriben, no se pueden modificar ni eliminar hasta que expire el período de inmutabilidad. NAKIVO Backup & Replication es una solución dedicada a la protección de datos que admite Proxmox backup para máquinas virtuales e inmutabilidad. Las copias de seguridad inmutables se pueden configurar en repositorios de backups locales conectados a Linux Transportadores , Amazon S3 , la nube y el almacenamiento de objetos compatible con S3.

Conclusión

Las medidas de seguridad eficaces de Proxmox incluyen una política de autenticación sólida, segmentación de la red, restricción de acceso en el firewall, seguridad SSH de Proxmox, supervisión del entorno, backup de datos y protección contra el ransomware. Implemente estas medidas en su Proxmox en un entorno de laboratorio para reducir el riesgo de infecciones de malware y evitar la pérdida de datos. Utilice NAKIVO Backup & Replication para hacer backup de las máquinas virtuales Proxmox y proteger los backups contra el ransomware mediante la inmutabilidad.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Artículos recomendados

Picture
Cómo habilitar el cifrado de backups con NAKIVO: una guía completa
Picture
Cómo hacer backup de Proxmox VE con NAKIVO Backup & Replication
Picture
Comparar los planes de Microsoft Office 365 para empresas: Aplicaciones, funciones y precios