Проблема: Обнаружение факта использования VPN-соединения пользователем на управляемой рабочей станции или в корпоративной сети.

Причины:
1. Использование легальных VPN-клиентов (OpenVPN, WireGuard, IPSec IKEv2) или прокси-туннелей (Shadowsocks, V2Ray).
2. Применение SSTP/PPTP/L2TP через встроенные средства ОС.
3. Туннелирование трафика поверх HTTPS/QUIC (например, через Nekoray или Sing-box) — технически неотличимо от обычного HTTPS.
4. Использование VPN-расширений браузера (Lightway, сторонние WireGuard-клиенты).

Решение (только в рамках АРМ пользователя и корпоративной инфраструктуры, не нарушая тайну переписки):

1. Анализ активных сетевых соединений (с правами администратора):
Windows: `netstat -bano | findstr /i "UDP 500 4500"` (IPSec IKE). Или `netstat -ano | findstr /i "ESTABLISHED"` и сверка PID с диспетчером задач (проверка на WireGuard — артефактный PID, не привязанный к имени файла `wg.exe`).
Linux: `ss -tupn | grep -E ':500|:4500|:1194|:51820'` (OpenVPN, WireGuard, IPSec).

2. Проверка DNS-запросов (через корпоративный DNS-сервер или журналы DHCP):
Поиск в логах запросов к известным VPN-провайдерам: `grep -i 'nordvpn\|protonvpn\|mullvad' /var/log/syslog`.
Анализ запросов DoH/DoT к публичным резолверам (`cloudflare-dns.com`, `dns.google`). Пример: `tshark -Y "dns.qry.name contains 'cloudflare-dns' or dns.qry.name contains 'dns.google'"`.

3. Обнаружение процессов с признаками туннелирования:
Windows (PowerShell администратор): `Get-Process | Where-Object { $_.MainWindowTitle -like 'VPN' -or $_.ProcessName -match 'openvpn|wireguard|nordvpn' } | Select-Object ProcessName,Id`.
Linux: `ps aux | grep -E 'openvpn|wireguard|tun2socks|nekoray|hysteria'`.

4. Проверка сетевых интерфейсов:
Windows: `ipconfig /all | findstr /i "tunnel adapter"` — покажет TAP-Windows Adapter (OpenVPN) или Wintun (WireGuard).
Linux: `ip link show | grep -E 'tun|tap|wg'` (наличие tun/tap интерфейса — прямой признак VPN).

5. Обход через расширения браузера (наиболее сложно детектировать):
Через корпоративный прокси-сервер (прозрачный) перехватывать трафик с нестандартными заголовками User-Agent или SNI на IP публичных VPN-серверов. Пример: `curl -v --resolve example.com:443:x.x.x.x` не даст результатов — только анализ на сетевом уровне.
Использовать GPO (Active Directory) для блокировки установки расширений по белым спискам.

6. Защита от полного сокрытия (EDR-агент):
Развернуть агент в режиме ядра (eBPF на Linux или Sysmon на Windows) для логирования создания сетевых сокетов и модификации маршрутизации. Пример команды Sysmon: `Sysmon -i -n` и поиск по событию EventID 3 (Network connection) с внешними IP, не входящими в корпоративную политику.

Важно:** Все действия должны быть разрешены внутренними политиками безопасности и проводиться только в отношении корпоративного оборудования. Проверка личных устройств без согласия сотрудника запрещена.