Klíčem k úspěšné VPN síti je její bezpečnost. VPN zabezpečuje data šifrováním nebo kryptováním, většina VPN umí obojí. Přijímač však nemá žádnou kontrolu nad tím, kudy k němu data cestují. Po cestě tak mohou být změněna, čemuž nám brání používání hash algoritmů k zabezpečení integrity dat. O to, aby data cestovala mezi autentizovaným zdrojem a cílem se starají autentizační protokoly. VPN používá hesla, digitální certifikáty, smart karty nebo biometrii k ověření totožnosti koncových uživatelů a zařízení.

Tunelování

Tunelování umožňuje použití veřejné sítě jako internet k přenosu dat uživatelů privátní cestou. Tunelování zabalí původní paket s dalším paketem a pošle nový, složený paket přes síť. K zabalení se používají protokoly GRE, IPSec, L2F, PPTP, L2TP

Integrita dat:

Jestliže je běžný text posílán přes internet, může být odchycen a přečten. K zachování dat v soukromí je potřeba je kryptovat. VPN kryptování přemění data do podoby nečitelné pro neautorizované přijemce. Kryptování funguje tak, že jako vysílač tak přijímač znají pravidla k přeměně původní zprávy do zakodované formy, znají algoritmus a klíč.
Algoritmus je matematická funkce, která kombinuje zprávu, text, číslice nebo všechno dohromady s klíčem. Výstupem je nečitelný řetězec znaků. Rozšifrování je extrémně obtížné, ne-li nemožné bez správného klíče.

Stupeň zabezpečení poskytovaný kryptovacími algoritmy závisí na délce klíče. Čím kratší délka klíče, tím větší je šance a menší výpočetní výkon k prolomení kryptování. Mezi nejpoužívanější kryptovací algoritmy patří
DES – Data Encryption Standard – vynalezen firmou IBM, používá 56-bitovou délku klíče, symetrický
3DES - Triple DES – novější varianta
AES – Advanced Encryption Standard – poskytuje silnější kryptování než DES a 3DES, nabízí 3 různé délky klíče 128,192 a 256-bitové.
RSA – Rivest, Shamir and Adlesman – Klíče používají délku 512, 768, 1024 nebo více bitů. Asymetrický (jiný klíč pro šifrování a dešifrování)

Hash, zajišťující integritu dat, je číslo generováno z řetězce textu. Hash je menší než samotný text a je generován na základě prvočísel, které je obtížné rozluštit. Vysílač vygeneruje hash ze zprávy a pošle ji se samotnou zprávou. Příjemce dešifruje zprávu a hash, vygeneruje vlastní hash z přijaté zprávy a pokud se hashe shodují, může si být jistý, že správa nebyla pozměněna.
VPN používá HMAC (hashed message authentication code) algoritmus, který garantuje integritu dat, HMAC má 2 parametry, zprávu a tajný klíč známý pouze vysílači a přijímači. Tento klíč si musí nějakou bezpečnou cestou předat.
Mezi nejpoužívanější patří
MD5 – Message Digest 5 – používá 128-bitový sdílený klíč. Výstupem kombinace zpráva + klíč je 128-bitový hash. Ten je přiřazen zprávě a poslán příjemci.
SHA-1 – Secure Hash Algorithm 1, – používá 160.bitový tajný klíč. Výstupem kombinace zpráva + klíč je 160-bitový hash. Ten je přiřazen zprávě a poslán příjemci.