IP-gestützte VPNs (IP-VPNs) sind die Alternative zur klassischen Standortvernetzung mit Techniken wie Frame Relay oder ATM. Der Begriff IP-VPN beschreibt ein virtuelles privates Netz, das zum Übertragen von Datenpaketen nach dem IP-Standard geeignet ist. Es wird keine Auskunft über die eingesetzte Technologie und Infrastruktur gegeben. Häufig werden IP-VPNs mit Internet-VPNs gleichgesetzt, da diese Methode die derzeit einfachste, preiswerteste und verbreitetste Lösung darstellt.
IPsec-VPN und SSL-VPN
Secure-Sockets-Layer- (SSL-)VPNs sollten ursprünglich die Defizite von IPsec-VPNs ausgleichen: Installation einer Client-Software und komplexe Client-Konfiguration beziehungsweise -Administration. Aufgrund der speziellen Anforderungen im Remote-Access-Umfeld sind die SSL-VPN-Anbieter jedoch zunehmend gezwungen, den Weg der Clientless-Lösung zu verlassen - also auch eine Client-Software zur Verfügung zustellen. Weiter verfügen moderne IPsec-VPN-Lösungen zwischenzeitlich über ein leistungsfähiges, zentrales Management. Grundsätzlich gilt auch weiterhin, dass jede Applikation hinsichtlich ihrer SSL-VPN-Fähigkeit überprüft und gegebenfalls angepasst werden muss.
Die IPsec-Spezifikation der Internet Engineering Task Force (IETF) ist der Protokoll-Standard für den Aufbau solcher privater Netze. Ursprünglich wurde IPsec für Site-to-Site-Kommunikationsumgebungen definiert, die durch fest installierte VPN-Gateways und statische IP-Adressen in vermaschten Wide Area Networks (WAN) geprägt sind. Das Einbinden einzelner Telearbeitsplätze stellt allerdings abweichende Anforderungen an End-to-Site- beziehungsweise End-to-End-VPNs, bedingt durch den Einsatz von Wählverbindungen und wechselnden (dynamischen) IP-Adressen. Die hierfür erforderlichen Erweiterungen des IPsec-Protokolls liegen zwischenzeitlich als Internet-Drafts auf den Seiten der IPsec-Working-Group vor, sind aber noch nicht im "offiziellen" Standardisierungsprozess der IETF angelangt.
Bevor mit IPsec Nutzdaten geschützt übertragen werden können, erfolgt im Rahmen des Internet Key Exchange (IKE) die Verhandlung aller hierfür notwendigen Sicherheitsparameter: Hierzu gehören der eingesetzte Verschlüsselungsalgorithmus, das Schlüssel-Management und die Authentifizierung zwischen VPN-Client und -Gateway. Diese erfolgt standardmäßig durch Preshared Key oder Zertifikate; die Protokollerweiterung Extended Authentication (XAUTH) ermöglicht hier zusätzliche Methoden, unter anderem Einmalpasswörter.
