Scopul unui produs VPN este sa realizeze retele logice, independente 343e45d de topologia retelei fizice. Aceasta este partea virtuala, grupuri de host-uri separate geografic pot interactiona si pot fi administrate ca o singura retea, extinzând dinamismul utilizatorului în reteaua LAN fara a-si face griji de locatia fizica. O astfel de retea virtuala este privata daca accesul al ea este controlat. Aceasta definitie integreaza o mare varietate de servicii de transport, de la traditionalele retele bazate pe Frame Relay si ATM si pâna la cele bazate pe MPLS. Unii considera partea privata ca fiind securizata, retelele ofera confidentialitate, integritatea mesajelor si autentificarea utilizatorilor si a host-urilor.
Topologia unei retele VPN este diferita de la caz la caz, în functie de necesitati, dar ea este construita pentru a servi una din cele trei functii principale:
- Doua retele de tip LAN pot fi legate între ele securizat printr-o legatura punct la punct, astfel legaturile dedicate WAN sunt înlocuite de o retea publica cum ar fi infrastructura unui ISP sau internetul.
- Cu costuri putine, se poate furniza acces securizat de la distanta utilizatorilor mobili la reteaua corporatiei prin intermediul infrastructurii internet.
- Cele doua topologii de mai sus pot furniza partenerilor de afaceri si clientilor acces la retelele externe si la servicii ce pot îmbunatatii relatiile de afaceri.
Tunelurile VPN trebuie sa asigure trei conditii de securitate: autentificare, pentru a se asigura identitatea celor doua extremitati ale tunelului, criptare, pentru a se preveni furtul de informatii transmise prin tunel si integritate, pentru a nu se înlocui informatia transmisa.
Tunelurile pot exista la nivele de protocol diferite:
- Tuneluri de nivel 2 pot realiza legaturi punct la punct (PPP - point to point). Serverul unui ISP intercepteaza conexiunea PPP a utilizatorului unei firme, dupa care va fi transmisa mai departe printr-un tunel la reteaua firmei. Sunt 2 protocoale populare pentru acest tip de VPN. PPTP (Point to Point Tunnel Protocol) realizeaza o conexiune autentificata si criptata de pe statiile Windows la un server de acces. Conform standardului IETF L2TP (Layer 2 Tunneling Protocol) creeaza tuneluri autentificate, dar nu asigura integritatea si confidentialitatea conexiunii. Pentru a realiza acest lucru trebuie combinat cu IPsec.
- Tunelurile de nivel 3 realizeaza conexiuni IP virtuale. Pachete IP vor fi rutate prin capetele tunelurilor, unde sunt încapsulate în headere conform standardului IETF, pentru a se asigura integritatea si confidentialitatea informatiilor. Aceste extensii ale protocolului IP (IPsec - IP Security) împreuna cu IKE (Internet Key Exchange) pot fi folosite împreuna cu numere si algorimi de criptare si autentificare (de exemplu: MD5, SHA1, DES, 3DES). În legaturi punct la punct la capetele tunelului se gasesc routere ce suporta IPsec. În spatele acestor rutere se vor gasi LAN-uri interconectate, structura pe care se realizeaza VPN-ul va fi transparenta pentru ele. Pentru accesul de la distanta utilizatorii se vor conecta la un punct de acces pentru a se conecta la reteaua privata a firmei. Acest punct de acces este tot un router ce suporta IPsec.
O alternativa omniprezenta este SSL (Secure Sockets Layer). SSL este suportat de orice browser, astfel protocolul http este securizat fara a fi nevoie de instalarea unui software client. Mai mult, pentru SSL sa creat un standard IETF, numut TLS (Transport Layer Security), care securizeaza si protocoalele POP, SMTP, IMAP si TELNET. Autentificarea se face pe baza de certificate, dupa care în unele cazuri se face si pe baza de utilizator si parola.
