[PLUTO-security] Un consiglio

[Piviul]

Ciao a tutti, vi scrivo poiché vorrei un consiglio.

Nella mia LAN ho installato samba+ldap+courier-imap. Ora ho la necessità 
che alcuni utenti consultino la posta dall'esterno della LAN. Ho pensato 
di creare una DMZ e di mettere un *webmail* in dmz che si colleghi a 
courier-imap. Ora quindi il problema è: cosa è più sicuro?

Vi mostro uno schema minimale; entrambi i firewall sono linbox con iptables

   INTERNET
      |
------------
| firewall1 |
------------
      |
     DMZ
      |
------------
| firewall2 |
------------
      |
     LAN


1° soluzione ---------------------
In DMZ ho il webmail. LDAP e courier-imap sono all'interno della LAN.
Situazione porte aperte sui firewall:
firewall1: da internet 443 verso webmail
firewall2: da webmail 143 (IMAP) verso LAN (courier-imap)
firewall2: da webmail 389 (LDAP) verso LAN (LDAP)

2° soluzione ---------------------
In DMZ ho il webmail e courier-imap. LDAP è ancora all'interno della LAN.
Situazione porte aperte sui firewall:
firewall1: da internet 443 verso webmail
firewall2: da webmail 389 (LDAP) verso LAN (LDAP)

3° soluzione ---------------------
In DMZ ho il webmail, courier-imap e una replica di LDAP.
Situazione porte aperte sui firewall:
firewall1: da internet 443 verso webmail

Certamente la 3° soluzione sembra la più sicura per la LAN, ma forse è 
meno sicura avendo il database delle password (LDAP) in DMZ. Ma del 
resto se dalla DMZ è possibile leggere il database delle password, 
allora è insicuro anche metterlo dentro la LAN...

Avete qualche consiglio considerazioni che mi possano aiutare a fare la 
scelta giusta?

Grazie mille

Piviul