В разделе "Приобретение МСЭ" были упомянуты термины VPN-сервер и VPN-клиент (VPN — virtual private network— виртуальная частная сеть). Этими терминами обозначают участников защищенного соединения, при этом предполагается, что механизмы защиты применяются на сетевом уровне, где в качестве транспорта используется протокол IP. Если речь идет о применении протоколов или схем безопасности более высоких уровней (транспортный, прикладной), то данный термин обычно не используется.
Современные технологии VPN ориентируются на использование стандартных протоколов безопасности (IPSec, PPTP, L2TP, L2P), но конкретные производители могут предоставлять и схемы зашиты собственной разработки. Сама технология заключается в применении криптографических методов для обеспечения конфиденциальности и целостности данных, пересылаемых между клиентом и сервером. Два основополагающих признака технологии VPN.
- Средой передачи данных обычно служат сети общего пользования, такие как Интернет, городская телефонная сеть и корпоративная сеть без дополнительных механизмов защиты (например, аппаратных).
- Криптографические механизмы накладываются на третьем (сетевом) уровне модели OSI или между третьим и вторым уровнем. Это создает у пользователя иллюзию изолированности от подавляющего большинства узлов сети общего пользования и создания "внутри нее" виртуальной сети из нескольких компьютеров, которые владеют одинаковыми VPN-средствами с одинаковыми криптографическими ключами.
Различают программные комплексы, где безопасность осуществляется только за счет усиления соответствующего сервиса или демона (например, ipd), и программно-аппаратные, примерами которых могут быть маршрутизаторы с функцией VPN или хосты с дополнительными платами безопасности. При разговоре о технологии следует дифференцировать две возможные схемы применения механизмов защиты.
- Схема "сеть-сеть", когда протоколы безопасности применяются только к пакетам, выходящим из локальной сети, и прекращают свое действие при входе пакета в удаленную локальную сеть (если обмен данных идет между двумя хостами в двух локальных сетях, например, в двух филиалах одной организации). В этом случае необходимо учитывать, что внутри локальных сетей пакеты не защищены.
- Схема "точка-сеть" — обычно используется при удаленной работе сотрудника с сетью организации. При этом как типовой вариант предполагается, что клиент (например, с мобильного компьютера по модемном линии) подключается к серверу удаленного доступа, связь между которым и локальной сетью назначения идет через компьютерную сеть общего пользования. В этом случае необходимо учесть, что в ряде протоколов механизмы VPN активизируются только между сервером доступа и локальной сетью назначения — т. е. трафик, идущий между сервером доступа и удаленной станцией (ноутбуком), может быть не защищен.