Tudo bem,
procurando por um cabeçalho User-Agent que não exista no caso de um SSH ou similar é a resposta oficial.
Uma sessão HTTPS regular normalmente envia esses cabeçalhos junto com a chamada ao método HTTP CONNECT xxx: 443 (no caso de uma conexão de túnel). Na verdade, só permitimos conexões para a porta 80 no proxy, de modo que tudo que não recebe HTTP (não mais) seja encapsulado.
É segurança por obscuridade, mas acho que muito mais não pode ser feito neste caso e com este dispositivo ...