TroutTrout
All docs

v26.6 Release Notes

Was ist neu im Release von Juni 2026.

4 min read · Last updated 2026-06-17

v26.6.1 konzentriert sich auf den Betrieb von Access Gate im großen Maßstab: netzwerkbasierte Upgrades für große Flotten, protokollbewusste Zugriffskontrolle, einen breiteren Satz integrierter Bedrohungserkennungen und eine tiefere Tailscale-VPN-Integration.

Highlights

Netzwerk-Upgrades über HTTP(S)

Access Gate kann jetzt über das Netzwerk aktualisiert werden, was Flotten-Upgrades für Umgebungen mit mehr als 100 Geräten oder virtualisierten Deployments praktikabel macht. Upgrade-Pakete werden von einer URL abgerufen (ein lokaler air-gapped Server, ein vom Partner gehosteter Server oder der öffentliche Trout-Server). Jedes Paket ist kryptografisch signiert und wird vor einer A/B-Installation verifiziert. Ein fehlgeschlagenes Upgrade rollt automatisch auf den letzten bekannten guten Stand zurück, einschließlich der vor dem Upgrade erstellten Sicherung.

Access Gate Netzwerk-Upgrades
Access Gate Netzwerk-Upgrades

Protokollbewusste ACL-Regeln

Sie können jetzt Allow- und Deny-Bedingungen für bestimmte Protokollwerte direkt aus der ACL-Tabelle ausdrücken: zum Beispiel das Begrenzen eines Modbus-Coil-Werts oder das Filtern von HTTP-Anfragen nach User-Agent. Ein protokollspezifischer Editor verwandelt diese Bedingungen in Erkennungsregeln und bietet so eine fein granulare, pro-Enklave-Kontrolle, die über einfachen Port-Zugriff hinausgeht. Damit setzen Sie prozessbezogene Safety- und Security-Grenzen durch, etwa das Blockieren eines Modbus-Schreibvorgangs außerhalb des gültigen Bereichs.

Unabhängige Remote-Access-Kontrolle in Enklaven

Assets, die nur über proxied Remote Access (SSH, RDP oder VNC) erreichbar sind, erscheinen jetzt in der Enclave Search und erhalten ihre eigene Remote Access-Kontrolle in der ACL, unabhängig von Netzwerkdiensten verwaltet. Sie können browserbasierten Remote Access pro Enklave gewähren oder widerrufen, getrennt vom Öffnen eines Ports. Das ist Privileged Access Management für OT: SSH-, RDP- und VNC-Sitzungen werden über Access Gate vermittelt, pro Enklave autorisiert und auditiert, sodass ein Wartungsteam oder ein Drittanbieter nur die Assets erreicht, die eine bestimmte Enklave gewährt.

Remote-Access-Flow für Benutzer
Remote-Access-Flow für Benutzer

Überarbeitete Tailscale-VPN-Integration

Die Tailscale-VPN-Integration wurde für mehr Zuverlässigkeit neu aufgebaut. Virtuelle Netzwerke und Assets synchronisieren sich aus der Tailscale-API, DNS löst in beide Richtungen zwischen Tailscale und lokalen Netzwerken auf, und Zugriffskontrollregeln gelten konsistent über Tailscale-zu-lokal- und Tailscale-zu-Tailscale-Flows hinweg. Das zielt auf Remote- und verteilte IT ab (Zweigstellen, mobile Ingenieure, Cloud-Workloads): Tailscale übernimmt die Konnektivität, während Access Gate dieselbe Segmentierung, Zugriffskontrolle und Auditierung auf Tailscale-Flows anwendet wie auf On-Premise-Verkehr.

Automatisierte Risikobewertungsberichte

Risikobewertungen können jetzt als strukturierte PDF-Dokumente exportiert werden, die direkt aus Ihren Kontrollmaßnahmendaten erzeugt werden, anhand einer anpassbaren Vorlage. Der Bericht wird aus aktuellen Kontrolldaten generiert statt von Hand zusammengestellt und deckt die Frameworks CMMC L2, NIS2, ISO27001, SOC2, DOH5 und DEC 616/650/750 ab.

PDF aus Risikobewertung erzeugen
PDF aus Risikobewertung erzeugen

Neue Bedrohungserkennungen

Dieses Release ergänzt die Erkennungsabdeckung für mehrere verbreitete Angriffsmuster, abgestimmt auf IT- und OT-Umgebungen:

  • SMB-Relay: NTLM-über-SMB-Authentifizierung gerichtet an Hosts, die nicht als SMB-Server deklariert sind, ein starker Hinweis auf einen Relay- oder Rogue-Endpunkt.
  • Reverse Shell: ausgehender Shell-Verkehr über verdächtige Ports und bekannte Payload-Muster.
  • Telnet-Nutzung: über Zonen hinweg, zu kritischen Assets, Brute-Force-Versuche und aktuelle Telnet-CVEs (noch immer verbreitet auf Legacy-OT/IoT-Geräten).
  • Tor- und DNS-Tunneling: Verkehrsmusterregeln für anonymisierte und verdeckte Exfiltrationskanäle.

Diese werden als integrierte Regeln ausgeliefert, sodass die Muster erkannt werden, ohne eigene Erkennungslogik schreiben zu müssen.

Kleinere Verbesserungen

  • Connection-Tracking für ausgehandelte Protokolle: FTP, DCE/RPC und OPC-DA, die einen sekundären Port aushandeln.
  • Test-Alert-Schaltfläche: Erzeugen Sie einen bekannten Test-Alert, um ein Syslog- oder SIEM-Ziel durchgängig zu validieren.
  • HTTPS- und SRV-DNS-Weiterleitung: Zusätzliche DNS-Eintragstypen werden jetzt weitergeleitet, auch für Active-Directory-Umgebungen.
  • NetFlow-Subnetz-Ausschluss: Schließen Sie ausgewählte Subnetze aus, um eine Doppelzählung von Verkehr zu vermeiden, der sowohl an einem Sniffing- als auch an einem Overlay-Port gesehen wird.
  • Sortieren nach IP auf der Monitor-Seite.

Fehlerbehebungen

  • Der Ablauf von ACL-Regeln wird korrekt zurückgesetzt, wenn sich eine Regel ändert, sodass Aktualisierungen sofort wirksam werden.
  • Verbesserte Stabilität für Enklaven mit sehr großen Regelsätzen.
  • Log-Filteroptionen bleiben sichtbar, wenn der Record-Type-Filter gewechselt wird.
Previous
Versionshinweise v26.3
Next
Versionshinweise v25.12