TroutTrout
All docs

Versionshinweise v26.3

Was ist neu in der Version März 2026.

4 min read · Last updated 2026-04-22

v26.3.1 bringt neue Funktionen für Fernzugriff, Identität und Klassifizierung sowie eine umfangreiche Reihe von Stabilitätskorrekturen für Enklaven, Overlay-Netzwerke und Access Screens.

Highlights

Privileged Access Management (PAM)

Access Gate wird jetzt mit einer integrierten proxy-basierten Fernzugriffsschicht ausgeliefert. Operatoren erhalten damit browserbasierten SSH-, RDP- und VNC-Zugriff auf geschützte Assets – ohne Client-Installation oder zusätzlichen Jump Host. Sitzungen übernehmen dieselben Identitäts-, Autorisierungs- und Auditregeln wie jede andere Access Gate-Sitzung.

TLS-Bootstrap ohne vorhandene PKI

Der pki-Dienst kann jetzt eine selbstsignierte Root-CA erstellen und verwalten, die alle vnet-Domänen des Appliance abdeckt. Damit entfällt das Henne-Ei-Problem, bei dem TLS (für Access Screens, verschlüsselte Overlays, Admin-UI) benötigt wird, bevor eine Kunden-PKI existiert. Der Root-CA-Schlüssel ist passwortgeschützt; der Administrator gibt das Passwort nach einem Systemneustart ein – das Passwort wird nie auf der Festplatte gespeichert.

Kunden mit einer vorhandenen PKI können diese weiterhin verwenden. Die Bootstrap-CA ist eine Option, kein Ersatz.

Benutzerdefinierter Sitzungsablauf

Admin- und Access-Screen-Sitzungen haben jetzt eine eigene konfigurierbare Lebensdauer, die vom Token-Lebenszyklus des OIDC-Anbieters entkoppelt ist. Dies ist relevant, wenn die Sitzungsrichtlinie des Identitätsanbieters zu permissiv oder nicht granular genug ist (z. B. Entra ID-Sitzungen mit fester Dauer). OAuth-Token werden weiterhin für den OIDC-Handshake verwendet, aber die Lebensdauer der Access Gate-Sitzung wird lokal festgelegt.

Subnetz-Klassifizierung und Labels

Netzwerke können jetzt mit einem Typ (VPN, IT, OT, Guest, Vendor, Public) und einem Implementierungsmodus (Twin oder Direct) gekennzeichnet werden. Zusätzliche Felder erfassen die Purdue-Klassifizierung und den Auswirkungsgrad im Angriffsfall. Diese Labels fließen in Richtlinien, Dashboards und Compliance-Berichte ein.

DHCP-Protokollunterstützung im Asset-Inventar

Assets können jetzt über DHCP-Datenverkehr entdeckt und verfolgt werden, zusätzlich zu den bestehenden passiven Beobachtungskanälen. Dies schließt eine Lücke für Umgebungen, in denen DHCP die primäre Quelle für verlässliche Endpunkt-IPs ist.

URL-Klassifizierungsmodell (Vorschau)

Ein neues Klassifizierungsmodell steht zur Erkennung verschleierter HTTP-Datenexfiltration durch Musterabgleich von Anfrage-URLs zur Verfügung. Es wurde auf den strukturellen Unterschieden zwischen legitimem HTTP-Datenverkehr und Info-Stealer-Payloads trainiert.

Identitäts- und Cybersicherheitshärtung

Benutzer tragen jetzt eine explizite Liste von AssignedAssets – persönliche Assets, die kein anderer Benutzer beanspruchen kann. Dies ersetzt die bisherige freie IP-Liste im Benutzerprofil, schließt einen ACL-Bypass-Sonderfall und macht die Benutzer-zu-Asset-Zuordnung auditierbar.

Neue Funktionen

  • ACL-Tabellensuche – Suche in der ACL-Tabelle nach Benutzer, Asset oder Regeltext.
  • Filterung und Suche über große Enklavensätze – Suchleiste und Filter auf der Enklavenseite arbeiten jetzt auch bei großen Entitätsmengen ohne Verzögerung.
  • Änderungen an Access-Screen-Berechtigungen werden in der Enklavenhistorie erfasst – Änderungen an Access-Screen-Berechtigungen erscheinen jetzt im Audit-Trail der Enklave.
  • Multiselect-Dropdown-Komponente – wiederverwendbares Multiselect-Widget auf mehreren Oberflächen.
  • Admin-Befehl zum Löschen von Zertifikaten – Administratoren können Zertifikate über die CLI entfernen.
  • Benutzerdefinierter Sitzungsablauf-Timeout – siehe Highlights.
  • Subnetz-Labels und Auswirkungsfelder – siehe Highlights.

Fehlerbehebungen

Stabilitäts-, UI- und Korrektheitskorrekturen auf der gesamten Plattform:

Access Screens

  • Zeilenumbrüche in Access-Screen-Inhalten werden jetzt auf der Splash-Seite übernommen.
  • Enklaventag wird im Access-Screen-Header nicht mehr doppelt angezeigt.
  • Der Texteditor reagiert beim Bearbeiten jetzt korrekt.
  • Der Server stürzt nicht mehr ab, wenn ein Access Screen unter bestimmten Bedingungen ausgelöst wird.
  • Ausrichtung von Logo, Text und Schaltflächen stabilisiert.

Enklaven

  • Audit-Einträge für geänderte Assets bleiben nicht mehr im Status „Ausstehend" hängen.
  • Änderungen an Access-Screen-Berechtigungen werden in der Enklavenhistorie erfasst.
  • Das Hinzufügen von M365-Gruppen zu einer Enklave funktioniert jetzt ohne Seitenneuladung.
  • Die Asset-Suche behält die vorherige Auswahl bei.
  • Die ACL-Tabelle meldet beim Öffnen keine Phantomänderungen mehr.

Overlay-Netzwerke

  • Die UI für virtuelle IP-Blöcke validiert Netzwerkadressen.
  • Pings, die vom Overlay-Interface ausgehen, verlassen das System über dasselbe Eingangsinterface.
  • Übersetzungen in CDNS korrigiert.
  • Wiederholte Spam-Lognachrichten werden unterdrückt.

Sichtbarkeit

  • Ladereihenfolge von Plugins korrigiert.
  • Der NetFlow-Decoder stürzt bei fehlerhaften Daten nicht mehr ab.

Compliance

  • Die IP-Bereinigung wird jetzt planmäßig im 24-Stunden-Rhythmus abgeschlossen.
  • Der Forwarder verarbeitet Anfragen für unbekannte Apps ohne Absturz.
  • Snort startet korrekt, wenn das CIP-Modul als Protokoll konfiguriert ist.

Hinweise zum Upgrade

  • Die pki-Bootstrap-CA ist optional; bestehende Deployments mit einer Kunden-PKI sind nicht betroffen.
  • Standardwerte für den Sitzungsablauf bleiben beim Upgrade erhalten; neue Werte werden nur dann unter den Admin-Einstellungen konfiguriert, wenn die neue entkoppelte Lebensdauer benötigt wird.
  • Der Collections-Screen wurde neu ausgerichtet; kundenseitig erstellte Regeln funktionieren weiterhin, aber die primäre Navigation wurde auf die Überwachung von Sicherheitsereignissen ausgerichtet.
Next
Versionshinweise v25.12