Connection Control – NGAF en CuriosityCloud

Introducción

La funcionalidad Connection Control del NGAF (Next Generation Application Firewall) de CuriosityCloud permite gestionar y limitar las conexiones simultáneas establecidas por dispositivos, usuarios o aplicaciones dentro de la red. Este control ayuda a prevenir abusos de servicio, ataques de denegación de servicio (DoS) y sobrecarga de recursos en servidores críticos, reforzando así la seguridad y estabilidad del entorno.

¿Qué es el Control de Conexiones?

Connection Control permite a los administradores establecer límites en:

• El número total de conexiones simultáneas desde una IP fuente.

• El número de conexiones por segundo (CPS) desde una IP o red.

• El número de conexiones simultáneas hacia una IP destino.

• La tasa de creación de sesiones por protocolo (TCP, UDP, etc.).

Estas restricciones pueden aplicarse por reglas específicas de seguridad, por usuario, por interfaz, o por zona de seguridad.

Casos de uso comunes

• Prevenir ataques de fuerza bruta donde se generan múltiples conexiones para adivinar contraseñas.

• Evitar sobrecarga de servidores web ante conexiones excesivas desde una misma fuente.

• Detectar dispositivos comprometidos que generen tráfico anómalo.

• Limitar consumo de ancho de banda por exceso de conexiones simultáneas.

Pasos para configurar Connection Control

1. Ingresar a la consola WebUI del NGAF como administrador.

2. Ir al menú: Policy Configuration > Access Control > Connection Control.

3. Habilitar la opción de Control de Conexiones.
   
   

4. Establecer límites personalizados:

   • Número total de conexiones simultáneas por IP.

   • CPS (conexiones por segundo).

   • Conexiones máximas por regla.

   • Tiempos de espera (Time-out) por protocolo.

5. Asociar el control a políticas específicas de acceso

   • Puedes aplicar los límites a políticas específicas previamente configuradas en el módulo de Access Control (7.2.1).

6. Aplicar los cambios.

   • Las restricciones entran en efecto inmediatamente.
     

     
     
     

Consideraciones adicionales

• Puedes definir acciones específicas en caso de que se exceda el límite:

  • Drop: descartar la nueva conexión.

  • Alert: generar una alerta en el sistema.

  • Redirect: redirigir a una página de advertencia.

• El control puede establecerse de forma global o por política específica.

• NGAF mantiene registros (logs) detallados de eventos relacionados con Connection Control, lo cual facilita auditorías o diagnósticos posteriores.

Buenas prácticas

• Establecer valores iniciales conservadores y ajustar con base en el comportamiento real.

• Revisar logs de Connection Control regularmente para detectar patrones anómalos.

• Aplicar límites más estrictos en reglas expuestas a Internet o en zonas desmilitarizadas (DMZ).

• Usar CPS y límite de conexiones como complemento a otras funciones de protección como IPS o Brute Force Defense.

Requisitos

• Versión mínima recomendada: NGAF 8.0.85 o superior.

• Rol de administrador del NGAF dentro del tenant de CuriosityCloud.

• No requiere licenciamiento adicional.