Ein Virtual Private Network (VPN) ermöglicht sichere (private) Verbindungen für Netz-Applikationen über ein öffentliches, unsicheres Medium wie das Internet. Als Schlüsselkomponenten für die Sicherheit des VPN gelten Zugangskontrolle, Verschlüsselung sowie die Authentifizierung von Benutzern und Daten.

Authentifizierung von Daten heißt: überprüfen, ob die Nachricht tatsächlich vom angegebenen Sender stammt und unterwegs nicht verändert wurde. Die Authentizität von Benutzern soll dagegen unauthorisierten Personen den Zugang verwehren. Bekannte Verfahren sind die Eingabe von Namen und Paßwort oder die Identifizierung durch persönliche Chipkarte und Geheimzahl.

Steht die Identität der Person fest, hat sie entsprechend ihrem Benutzerprofil Zugriff auf bestimmte Dienste und Ressourcen, auf andere jedoch nicht (Zugangskontrolle). Die Verschlüsselung dient der Geheimhaltung der Daten auf dem Transportweg. Eine gute VPN-Lösung bietet die Möglichkeit, die Daten verschlüsselt oder im Klartext zu senden oder ganz zu blockieren. Um die Sicherheit zu erhöhen, ist es wichtig, die Schlüssel periodisch auszutauschen.

Sollen via Internet LANs verbunden werden, die nicht TCP/IP benutzen, kommt das Tunneling-Konzept zum Tragen. Darunter versteht man die Einbettung eines Protokolls in ein anderes. Im Wesentlichen wird dabei jedem Datenpaket ein IP-Header vorangestellt. Damit sich zwei VPN-Teilnehmer überhaupt verstehen, müssen beide dieselbe Sprache sprechen, das heißt, das gleiche VPN-Protokoll verwenden. Die Protokolle PPTP, L2F und L2TP packen zunächst Pakete in IP-Pakete ein, die dann mit Hilfe des Point-to-point-Protocol (PPP) über das Internet verschickt werden können.

An einem Standard, der die Paketstruktur und die sogenannte "Security Association" (SA) für die VPN-Kommunikation festlegt, arbeitet die Arbeitsgruppe IP Security (IPSec) der Internet Engineering Task Force (IETF). Die standardisierte Paketstruktur enthält zwischen IP Header und dem Original-Datenpaket ein weiteres Element, das vor allem die Datenintegrität sichern soll. Der IPSec-Standard schreibt außerdem vor, daß vor jeglichem Datenverkehr eine Security Association zwischen den beiden VPN-Knoten verhandelt werden muß, die alle Informationen über die Ausführung diverser Sicherheitsdienste enthält.