¿Cómo puedo detectar si alguien está utilizando un túnel ssh como proxy para conectarse a una VPN?

Una VPN es solo enrutamiento con protección. En su caso, el "proxy" garantiza que el tráfico vaya primero de la tableta a algún servidor S , desde el que luego va a "Internet", por ejemplo. al punto de entrada a la VPN de la empresa. El "proxy" usa SSH pero eso es solo entre la tableta y el servidor S ; No puedes verlo desde la compañía.

Lo que verá de la compañía es la dirección IP de S . Una estrategia relativamente invasiva es utilizar huella dactilar del SO en esa máquina (básicamente, escanear quién se está conectando) para intentar adivinar si S es de hecho un sistema Android, o algún otro tipo de sistema operativo. Si detecta que "quién se conecta" no usa Android directamente, entonces ha demostrado que algún sistema intermedio, un "proxy", está en uso.

(Si las máquinas de escaneo que se conectan son legales, es un tema complejo que depende mucho de las jurisdicciones. No lo implemente sin tomar un consejo legal).

Ahora, por supuesto, en general, no hay tal cosa como una dicotomía "proxy / no proxy". Un usuario de tableta básica se conectará a través de WiFi cuando pueda, conectándose a un punto de acceso que usará NAT , y eso califica como una especie de "proxy". Esto ya impide que el escaneo inverso explicado anteriormente realmente funcione (es decir, la mayoría de las veces, el escaneo verá el punto de acceso, no la tableta en sí).

El punto entero de usar una VPN como Cisco AnyConnect es hacer que la pregunta del proxy sea irrelevante: la VPN usa la protección criptográfica exactamente de modo que las rutas utilizadas por los paquetes de datos no tengan ningún impacto en la seguridad. No debería tener que preguntarse si algún SSH o NAT o lo que sea que esté en su lugar. Por lo tanto, tu pregunta es un poco rara.