Für den Betrieb eines sicheren VPNs über das Internet gibt es drei Kriterien, die idealerweise erfüllt werden sollten: Die Authentifizierung läßt nur berechtigte Sender Nachrichten innerhalb eines VPNs absetzen. Dem Empfänger garantiert dieses Verfahren, daß der Sender wirklich der ist, für den er sich ausgibt.

Integrität besagt, daß empfangene und gesendete Daten identisch sind. Die Nachrichten sollten also das vermaschte Internet durchqueren, ohne daß sie abgefangen und unbemerkt verändert werden können. Der Authentifizierung und Integrität hat sich bereits die Internet Engeneering Task Force (IETF) angenommen und die Standards "Message Digest Version 5" (MD5) und "Secure Hash Algorithm" (SHA) entworfen.

Schließlich sind ausgefeilte Verschlüsselungsverfahren erforderlich. Sie stellen sicher, daß nur der Empfänger die Nachricht lesen kann. Als Minimalanforderung schlägt die IETF den 56-Bit-Code "Data Encryption Standard" (DES) vor. Um die Belange von VPNs via Internet zu adressieren, hat die IETF den Standard "IP Security" (IPSec) als Bestandteil des neuen Protokolls IP, Version 6 (IPv6) entworfen (siehe Grafik). Er beinhaltet Verschlüsselungsalgorithmen, Authentifizierung und Integritätsprüfung.

Der IETF-Standard fügt jedem Paket eine Kennung hinzu, damit sich Verschlüsselung und Authentifizierung durch die nachgeschalteten Kommunikationsgeräte identifizieren lassen. Nachteilig an diesem Verfahren ist, daß die maximal zulässige Paketlänge überschritten werden kann. IPSec zerhackt daher die Nachrichten in kleinere Häppchen. Damit steigt allerdings die Anzahl der Pakete und somit auch die Latenzzeit eines Nachrichtenstroms im Netz. Der Vorteil des IETF-Standards ist die Plattform-Unabhängigkeit, was sich von konkurrierenden Verfahren nur bedingt behaupten läßt.

Microsofts Lösung "Point-to-Point Tunneling Protocol" (PPTP) eignet sich zunächst für die Kommunikation zwischen Windows-Clients und NT-Server. Die Softwerker wollen diesen Vorschlag der IETF zur Standardisierung vorlegen und ihn auf weitere Plattformen portieren. Hinter PPTP verbirgt sich ein Verschlüsselungs- und Kapselungsverfahren sowie eine Spezifikation, die die Anbindung an den in NT integrierten "Remote Access Server" (RAS) beschreibt. Außerdem setzt Microsoft eine PPP-Verbindung der Clients zum Internet voraus, die dieses Verfahren zudem nur dann nutzen können, wenn ihr Provider sein Equipment entsprechend aufrüstet.

Eng an die eigene Betriebssystem-Plattform angelehnt ist auch das Protokoll "Altavista Tunnel" von der Digital Equipment Corp. (DEC). Auf der Server-Seite ist das Verfahren für DEC-Unix optimiert, als Clients lassen sich Windows-95- und Windows-NT-Rechner einsetzen. Gegenüber PPTP hat Altavista Tunnel zwei Vorteile: Es lassen sich auch Client-zu-LAN-Verbindungen aufbauen, außerdem verlangt DECs Lösung kein Update der Router beim Internet-Provider. Auch DEC hat der IETF den Vorschlag zur Standardisierung unterbreitet. Außerdem arbeitet das Unternehmen an Versionen für Windows NT und weitere Unix-Plattformen.