Hoe detecteer je MFA-bypass-pogingen op je VPN.
Aanvallers proberen MFA te omzeilen via push-bombing, MFA-fatigue, OAuth-grant-misbruik of legacy-protocol-misbruik. Logging op login-events is je enige ware vriend.
Probeer dit eerst zelf
- 1Log alle authentication-events met geo, user-agent en succes/falen.
- 2Alarm op meer dan 3 mislukte MFA-prompts binnen 5 minuten voor dezelfde user (push-fatigue).
- 3Block legacy-auth (basic auth) bij Microsoft 365, dat is bij verre de meest misbruikte VPN-bypass.
- 4Geo-impossible-travel-rules: login uit NL en 10 minuten later vanuit Brazilië = automatisch revoken.
Wanneer ons inschakelen
Je hebt geen SIEM en login-events worden niet bewaard: zet minimaal Microsoft Sentinel of Defender XDR aan voor 90 dagen, anders kun je een breach niet eens reconstrueren.
Zie ook
- VPN verbindt niet of breekt steeds afTwee hoofdoorzaken: jouw thuis-internet of de VPN-server. Met één kleine test kun je ze uit elkaar trekken.
- VPN werkt maar bedrijfsmappen zijn onbereikbaarVerbinding zegt "groen" maar je netwerkschijven openen niet. Bijna altijd een DNS- of routing-probleem.
- Thuis-PC traag op VPN, op kantoor snelDrie verdachten: je internet thuis, de VPN-server limiet, of een routing die heel ver omloopt.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.