Come posso rilevare se qualcuno sta usando un tunnel ssh come proxy per connettersi a una VPN?

Una VPN è solo routing con protezione. Nel tuo caso, il "proxy" assicura che il traffico vada prima dal tablet a qualche server S , da cui poi passa a "Internet", ad es. al punto di ingresso per la VPN dell'azienda. Il "proxy" usa SSH ma è solo tra il tablet e il server S ; non puoi vederlo dalla compagnia.

Ciò che vedrai , tuttavia, dalla società, è l'indirizzo IP di S . Una strategia relativamente invasiva consiste nell'utilizzare impronte digitali OS su quella macchina (in pratica, scansionare chi sta connettendo) per cercare di indovinare se S è effettivamente un sistema Android, o qualche altro tipo di SO. Se rilevi che "chi si connette" non usa Android direttamente, allora hai mostrato che è in uso un sistema intermedio, un "proxy".

(Indipendentemente dal fatto che le macchine di scansione che si connettono siano legali è un argomento complesso che dipende molto dalle giurisdizioni. Non distribuirlo senza ricorrere a consulenti legali.)

Ora, naturalmente, in generale, non esiste una dicotomia "proxy / no proxy". Un utente tablet di base si connetterà tramite WiFi quando potrà, collegandosi a un punto di accesso che utilizzerà NAT e che si qualifica come una specie di "proxy". Ciò impedisce già che la scansione inversa spiegata sopra funzioni realmente (ad esempio, la maggior parte delle volte la scansione vedrà il punto di accesso, non il tablet stesso).

Il punto intero di utilizzare una VPN come Cisco AnyConnect è rendere la domanda proxy irrilevante: la VPN utilizza la protezione crittografica esattamente così che i percorsi utilizzati dai pacchetti di dati non hanno alcun impatto sulla sicurezza. Non dovresti chiederti se alcuni SSH o NAT o qualsiasi altra cosa è a posto. Quindi la tua domanda è strana.