Ein Virtual Private Network (VPN) ermöglicht sichere (private) Verbindungen für Netzapplikationen über ein öffentliches, unsicheres Medium wie das Internet. Als Schlüsselkomponenten für die Sicherheit des VPN gelten Zugangskontrolle, Verschlüsselung sowie die Authentifizierung von Benutzern und Daten.

Authentifizierung von Daten heißt: überprüfen, ob die Nachricht tatsächlich vom angegebenen Sender stammt und unterwegs nicht verändert wurde. Die Authentizität von Benutzern soll dagegen unautorisierten Personen den Zugang verwehren. Bekannte Verfahren sind die Eingabe von Benutzernamen und Paßwort oder die Identifizierung durch Chipkarte und Geheimzahl.

Steht die Identität der Person fest, hat sie entsprechend ihrem Benutzerprofil Zugriff auf bestimmte Dienste und Ressourcen, auf andere jedoch nicht (Zugangskontrolle). Die Verschlüsselung dient der Geheimhaltung der Daten auf dem Transportweg. Eine gute VPN- Lösung bietet die Möglichkeit, die Daten verschlüsselt oder im Klartext zu senden oder ganz zu blockieren.

Sollen via Internet LANs verbunden werden, die nicht TCP/IP benutzen, kommt das Tunneling-Konzept zum Tragen. Darunter versteht man die Einbettung eines Protokolls in ein anderes. Im wesentlichen wird dabei jedem Datenpaket ein IP-Header vorangestellt, damit es sich über das Internet transportieren läßt.

Damit sich zwei VPN-Teilnehmer überhaupt verstehen, müssen beide dieselbe Sprache sprechen, das heißt, das gleiche VPN-Protokoll verwenden. Die Protokolle PPTP, L2F und L2TP packen zunächst Pakete der Ebene 3 in IP-Pakete ein, die dann mit Hilfe des Point- to-point-Protocol-(PPP-)Verfahrens über das Internet verschickt werden können.

An einem Standard, der die Paketstruktur und die "Security Association" (SA) für die VPN-Kommunikation festlegt, arbeitet die Arbeitsgruppe IP Security (IP Sec) der Internet Engineering Task Force (IETF). Die standardisierte Paketstruktur enthält zwischen IP-Header und dem Original-Datenpaket ein weiteres Element, das vor allem die Datenintegrität sichern soll. Der IP-Sec-Standard schreibt außerdem vor, daß vor jeglichem Datenverkehr eine Security Association zwischen den beiden VPN-Knoten verhandelt werden muß, die alle Informationen über die Ausführung diverser Sicherheitsdienste enthält.