Arquivo

Archive for the ‘Segurança’ Category

Exibir usuário com permissão de SA no SQL Server!

12 de abril de 2016 Deixe um comentário
Microsfot SQL Server

Microsfot SQL Server

Por uma questão de segurança, é comum listar os usuários que tem permissão de sysadmin no banco. Sempre é bom ficar verificando essa lista. Segue uma query para listar usuários com permissão de SA.

SELECT
p.name AS [Name] ,r.type_desc,r.is9_disabled,r.create_date , r.modify_date,r.default_database_name
FROM
sys.server_principals r
INNER JOIN sys.server_role_members m ON r.principal_id = m.role_principal_id
INNER JOIN sys.server_principals p ON
p.principal_id = m.member_principal_id
WHERE r.type = ‘R’ and r.name = N’sysadmin’

A query acima lista os usuários com permissão de sysadmin.

Anúncios

Lista de IPS atualizada do WHATS APP

29 de dezembro de 2015 Deixe um comentário
Whatsapp

IPS WHATSAPP

Lista atualizada de IP’s que o Whats App utiliza para a comunicação do aplicativo com os servidores.  A relação contém todos os blocos IPV4 e IPV6 utilizadas pelo app.

No caso de você querer bloquear o tráfego em sua rede para o Whats App, terá que bloquear todos os IPS na lista. Se não tiver saída v6, bloqueie apenas os IPv4.

LISTA DE IP’s: Clique aqui.

Para bloquear por nome, utilize os DNS listados nesta página: https://github.com/ukanth/afwall/wiki/HOWTO-blocking-WhatsApp

 

Patch para vulnerabilidade Heartbleed no Zimbra

16 de abril de 2014 Deixe um comentário
Exploit Zimbra - Heartbleed

Exploit Zimbra – Heartbleed

Patch para vulnerabilidade  Heartbleed no Zimbra

Aplicando patch de atualização do Openssl para evitar Exploit HeartBleed no Zimbra.

No post anterior eu falo sobre o heartbleed, então neste nós vamos direto meter a mãe na massa e tirar essa vulnerabilidade de nossa rede. Cara, tira esse exploit da tua rede, com isso um hacker consegue retirar informações muito importantes da tua rede, você nem imagina quais. Com uma praga dessa alocada em teu sistema de processamento, o hacker consegue capturar as chaves da criptografia e aí, ele está diretamente no núcleo de teu sistema de segurança.

Para identificar se seu Zimbra está infectado, use os comandos abaixo:

Vulnerável:

$ strings /opt/zimbra/openssl/lib/libssl.so | grep dtls1_heartbeat
dtls1_heartbeat
$

 

Não vulnerável:

$ strings /opt/zimbra/openssl/lib/libssl.so | grep dtls1_heartbeat
$

 

Caso você esteja vulnerável, confirme verificando a versão do seu Openssl:

Openssl version -a

 

Caso sua versão seja uma das listadas abaixo e os comandos acima retornaram dtls1_heartbeat, você precisará aplicar o patch abaixo.

As versões infectadas são:
1.0.1
1.0.2-beta
1.0.2-beta1
1.0.1f
1.0.2

 

Bom, partindo do pressuposto que você está infectado (LIKE ME), você precisará aplicar um patch de correção para limpar o malware. O Patch é bem simples, não necessita de reboot da máquina, apenas do serviço do zimbra, não demora nem 5 minutos a aplicação do patch. e o mesmo é bem simplex! Este pacth é válido para as versões ZCS versions 8.0.3, 8.0.4, 8.0.5, 8.0.6, or 8.0.7 e ZCA versions 8.0.3 or 8.0.4! Entretanto atuliza teu ambiente por sua conta em risco, não vem me culpar por nada depois que eu ainda vou rir.

Método 01 – Mais simples:

Use os comandos como root

cd /tmp/
wget http://files.zimbra.com/downloads/security/zmopenssl-updater.sh
chmod a+rx zmopenssl-updater.sh
./zmopenssl-updater.sh
su - zimbra
zmcontrol restart

 

Método 02 – Manual:

Baixe o pacote certo para sua instalação:
Use os comandos como root

cd /tmp

 

http://files.zimbra.com/downloads/8.0.3_GA/openssl/RHEL6_64/openssl-1.0.1d.tgz
http://files.zimbra.com/downloads/8.0.3_GA/openssl/SLES11_64/openssl-1.0.1d.tgz
http://files.zimbra.com/downloads/8.0.3_GA/openssl/UBUNTU10_64/openssl-1.0.1d.tgz
http://files.zimbra.com/downloads/8.0.3_GA/openssl/UBUNTU12_64/openssl-1.0.1d.tgz
http://files.zimbra.com/downloads/8.0.4_GA/openssl/RHEL6_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.4_GA/openssl/SLES11_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.4_GA/openssl/UBUNTU10_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.4_GA/openssl/UBUNTU12_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.5_GA/openssl/RHEL6_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.5_GA/openssl/SLES11_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.5_GA/openssl/UBUNTU10_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.5_GA/openssl/UBUNTU12_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.6_GA/openssl/RHEL6_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.6_GA/openssl/SLES11_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.6_GA/openssl/UBUNTU10_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.6_GA/openssl/UBUNTU12_64/openssl-1.0.1e.tgz
http://files.zimbra.com/downloads/8.0.7_GA/openssl/RHEL6_64/openssl-1.0.1f.tgz
http://files.zimbra.com/downloads/8.0.7_GA/openssl/SLES11_64/openssl-1.0.1f.tgz
http://files.zimbra.com/downloads/8.0.7_GA/openssl/UBUNTU10_64/openssl-1.0.1f.tgz
http://files.zimbra.com/downloads/8.0.7_GA/openssl/UBUNTU12_64/openssl-1.0.1f.tgz

Ou baixe um pacote MD5 disponível em um dos links abaixo, baixe o certo.

http://files.zimbra.com/downloads/8.0.3_GA/openssl/RHEL6_64/openssl-1.0.1d.tgz.md5sum
http://files.zimbra.com/downloads/8.0.3_GA/openssl/SLES11_64/openssl-1.0.1d.tgz.md5sum
http://files.zimbra.com/downloads/8.0.3_GA/openssl/UBUNTU10_64/openssl-1.0.1d.tgz.md5sum
http://files.zimbra.com/downloads/8.0.3_GA/openssl/UBUNTU12_64/openssl-1.0.1d.tgz.md5sum
http://files.zimbra.com/downloads/8.0.4_GA/openssl/RHEL6_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.4_GA/openssl/SLES11_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.4_GA/openssl/UBUNTU10_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.4_GA/openssl/UBUNTU12_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.5_GA/openssl/RHEL6_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.5_GA/openssl/SLES11_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.5_GA/openssl/UBUNTU10_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.5_GA/openssl/UBUNTU12_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.6_GA/openssl/RHEL6_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.6_GA/openssl/SLES11_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.6_GA/openssl/UBUNTU10_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.6_GA/openssl/UBUNTU12_64/openssl-1.0.1e.tgz.md5sum
http://files.zimbra.com/downloads/8.0.7_GA/openssl/RHEL6_64/openssl-1.0.1f.tgz.md5sum
http://files.zimbra.com/downloads/8.0.7_GA/openssl/SLES11_64/openssl-1.0.1f.tgz.md5sum
http://files.zimbra.com/downloads/8.0.7_GA/openssl/UBUNTU10_64/openssl-1.0.1f.tgz.md5sum
http://files.zimbra.com/downloads/8.0.7_GA/openssl/UBUNTU12_64/openssl-1.0.1f.tgz.md5sum

cd /opt/zimbra
mv openssl-OLDVERSION openssl-OLDVERSION.brokenheart
tar xfz /tmp/openssl-NEWVERSION.tgz
su - zimbra
zmcontrol restart

 

Repita os passos:

Vulnerável:

$ strings /opt/zimbra/openssl/lib/libssl.so | grep dtls1_heartbeat
dtls1_heartbeat
$

 

Não vulnerável:

$ strings /opt/zimbra/openssl/lib/libssl.so | grep dtls1_heartbeat
$

 

Caso ainda esteja vulnerável, veja se fez tudo certo.

PS: Estes métodos funcionam no Zimbra de forma perfeita, sem afetar nada de produção e remove 100% a praga em questão. ENTRETANTO eu não testei em outros sistemas do tipo apache, vpn e etc e tals.

 

 

Fontes:

  • Zimbra Google Groups

Testar vulnerabilidade do OPENSSL do HeartBleed

16 de abril de 2014 Deixe um comentário
Exploit HeartBleed

Exploit HeartBleed

A biblioteca criptográfica OpenSSL protege nomes de usuários, senhas, números de cartões de crédito e de débito e outras informações confidenciais do usuário. Uma falha no código SSL pode permitir a um invasor obter acesso à memória do sistema, que potencialmente pode conter informações ou comunicações confidenciais.

O SSL/TLS é amplamente empregado para proteger a comunicação através de websites, e-mail, mensagens instantâneas, etc. Ele pode ser reconhecido pelo prefixo “https” ou por um cadeado na barra de endereços de um navegador.

Portanto, a falha permite que os atacantes extraiam informações de grandes bancos de dados os quais contêm nomes de usuários, senhas e outras informações confidenciais.

Segundo a companhia de segurança Vasco, além de permitir que um hacker obtenha parte da memória de um servidor impactado, sob certas circunstâncias, o bug também permite a obtenção de dados sensíveis que tenham sido trocados no passado através de um servidor SSL/TLS vulnerável. Empregando a chave privada SSL/TLS de uma aplicação na Internet comprometida, o criminoso também pode dar vida a servidores falsos se apresentando graficamente como o original.

Como a ameaça se aproveita de servidores, e não dos dispositivos de consumo, as empresas de serviços online precisam atualizar para a versão mais recente do OpenSSL, a 1.0.1g, a fim de mitigar e corrigir esta brecha na segurança.

– See more at: http://idgnow.com.br/blog/circuito/2014/04/15/heartbleed-tudo-o-que-voce-precisa-saber-sobre-a-falha-no-openssl/#sthash.BmfUYb83.dpuf

Testar vulnerabilidade do OPENSSL do HeartBleed

Bom todos conhecem o OpenSSL e a importância dele em nosso cotidiano. Para ler este post, você devem estar ciente do risco que esta biblioteca pode trazer em sua vida.

O Openssl é uma biblioteca que implementa funções criptográficas através dos protocolos SSL e TLS. Por ser escrita em c++ esta disponível para sistemas operacionais Unix, Linux, Mac OS X, BSD e Ruindows.

O problema é que recentemente foi descoberta uma falha no código SSL que dependendo da versão do Openssl pode permitir que um hacker obtenha acesso à dados contidos na memória do servidor como senhas, e outras informações confidenciais.

O SSL/TLS é amplamente empregado para proteger a comunicação através de websites, e-mail, mensagens instantâneas, etc. Ele pode ser reconhecido pelo prefixo “https” ou por um cadeado na barra de endereços de um navegador.

Portanto, a falha permite que os atacantes extraiam informações de grandes bancos de dados os quais contêm nomes de usuários, senhas e outras informações confidenciais.

Um outro problema grave é que com a exploração um hacker obtém a chave privada TLS/SSL de determinada aplicação, a partir deste ponto o hacker pode dar vida a servidores fake se apresentando graficamente como o servidor original, já que possui a chave TLS/SSL.

As versões vulneráveis do OpenSSL são (Segundo o openssl https://www.openssl.org/news/secadv_20140407.txt):

OpenSSL Security Advisory [07 Apr 2014]
========================================
TLS heartbeat read overrun (CVE-2014-0160)
==========================================
A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.
1.0.2 will be fixed in 1.0.2-beta2.

Para verificar se seu ambiente está comprometido, faça um teste no site abaixo:

https://filippo.io/Heartbleed/

De acordo com o resultado, aplique o patch necessário em seu ambiente conforme a versão do seu Openssl.

Para ver a versão do seu Openssl utilize:

openssl version -a

 

Após o comando acima, compare sua versão com as versões infectadas acima.

[]’s

 

 

 

Aumentando segurança contra Exploits!!!

2 de fevereiro de 2014 Deixe um comentário
Security_Exploits

Security_Exploits

Aumentando segurança contra Exploits!!!

Um exploit é um software cuja finalidade é explorar algum bug conhecido em outro software fazendo com que este bug explorado tenha algum tipo de comportado determinado, como os abaixo:

– Conceder permissão de acesso a algumas informações,
– Acesso de escrita e leitura nos files do software explorado,
– Que faça com que o software explorado deixe de funcionar,
– Que apague os arquivos do software explorado
– Ou uma das piores formas, conceder acesso privilegiado ao Sistema Operacional
– Dentre outras ações.
 

Em resumo, um exploit é um software mal intencionado que geralmente vai trazer problemas ao Administrador da Rede, principalmente se ele tiver servidores de bunda da lua (Nunca faça isso, tenha amor próprio!!!).

Bom, a solução que vou citar aqui, é a que eu utilizo no meu dia-a-dia. Claro que junto com algumas outras regras de segurança. Enfim, vamos lá.

Na empresa onde eu trabalho, não tenho a necessidade de estar recebendo muitos acessos de fora do Brasil, todos os nossos serviços online são consumidos por IP’s nacionais. Raras são as exceções em que um cliente viaja para fora do Brasil e precisa imprimir um boleto e etc e tal.

Mas como disse, todos os nossos serviços que são disponibilizados na web, são consumidos por IP’S brasileiros. Então por quais motivos eu deixaria o resto do mundo ficar acessando meus serviços on line? Nenhum.

Você já reparou o log de acesso SSH no ser roteador de borda? O log de tentativas telnet? Melhor, dá uma olhada no teu mail.log e veja a quantidade de conexões maliciosas vindas de fora do Brasil. São muitas.

Por conta do exposto acima, eu resolvi bloquear o resto do mundo inteiro da minha rede, conexões do resto do mundo só são permitas caso o Socket já esteja aberta e tenha sido solicitado por parte da minha rede, caso contrário: “Tchau pacote malicioso!”.

Mas antes, vamos pensar numa situação, muitas empresas colocam seus servidores de email em Hosting’s, alguns deles brasileiros outros não, algumas empresas de hosting do Brasil, mantém servidores dedicados fora do Pais pela relação custo-benefício.

Isso acaba gerando um tráfego “gringo” na porta 25, que faz com que muitos pacotes de IPS fora do Brasil cheguem em suas rede sem intenção maliciosa, que no caso, DEVEM ser liberados.

Ou seja, pode bloquear tudo que for de fora do Brasil, mas mantenha aberta a porta 25, que é por onde os servidores de email (Mail Transfer Protocol) se comunicam entre sim para entrega de mensagens.

Para pegar os IPS Brasileiros, eu consulto o site http://www.blockcountryip.com/ onde tem a relação de ips de todos os países (IPv4). A relação já vem pronta pro modelo Cisco IOS (DENY FROM). Este site diz todos os ips que devem ser bloqueados de determinado país.

deny_from_brazil

deny_from_brazil

A lista é grande, são 278 prefixo brasileiros.

Claro que não vamos colocar uma regra bloqueando cada prefixo que não esteja na lista acima, mas sim permitir todos os ips brasileiros e em no final bloquear o resto 0.0.0.0/0. Afinal de contas, devemos sempre otimizar o processamento do roteador

Ou seja, para que possamos fazer um bloqueio bonitinho para IP’s estrangeiros que detém cerca de 95% do tráfego malicioso (Spam, sniffers, exploits, brute force, Pings, Flood UDP), devemos (no meu caso, avalie o seu!) proceder da seguinte forma.

01 – Liberar todo o tráfego na porta 25, independente se o IP é brasileiro ou não.
02 – Manter seu servidor web sempre atualizado e estar antenado em patches de segurança.
03 – Liberar a porta 80 dele, independente se o IP é brasileiro ou não. Sempre tem clientes que viajam para o exterior e precisam gerar o boleto para enviar para alguém no Brasil pagar.  Tenha atenção quanto a regra 02 por favor.
04 – Criar regras para LIBERAR (permit ou accept, varia de IOS para IOS) os 278 prefixos v4 de Origem nacional.
05 – Bloquear todo o tráfego restante representado por 0.0.0.0/0
06 – Observando se houve atualizações na lista (próximo post será sobre atualizações de Ips Brasileiros)

 

Pronto, com isso você eliminou os sniffadores chineses que todo dia varrem todas as portas de todos os seus IP’S, você bloqueou robos de estarem varrendo seu servidor WEB, você bloqueou um ataque de smtp autenticado no seu servidor de email. Você bloqueou qualquer tentativa de acesso SSH, Telnet, FTP ou qualquer outro serviço que o estagiário tenha levantado de teste e esqueceu de stopar o serviço (FDP!!!).

Entretanto, tudo o que foi falado acima não lhe protege contra ataques vindo de IP’S nacionais. 

Com certeza a China, EUA, Coréia… Devem ter servidores no Brasil com o intuito de continuar a sniffar suas portas, seus serviços e seus IP’s, mas dificilmente irão atacar por esses servidores.

Tem dois ditados na área de TI que devem sempre ser seguidos:

– Só Jesus salva, o resto faz Backup!
– Quem AMA, BLOQUEIA!

Se você ainda não teve a chance de contornar um ataque, ouça, é uma situação horrível. Portanto, BLOQUEIE!

IPS da APNIC – Ásia e Pacífico!

18 de novembro de 2013 Deixe um comentário

IPS DA APNIC

Regional Internet Registries

Regional Internet Registries

Algumas pessoas como eu, tem um certo receio com relação aos IPS asiáticos, tanto por questões de DOS distribuído, quanto por segurança mesmo. Os caras tão sniffando tudo que encontram pela frente. Caso tenha dúvida, analise as entradas de seu firewall ou roteador de borda. O que mais me chama atenção é o teste de todas as portas em todos os ips… Principalmente de IPS que fazem parte de algum ASN chinês.

Grandes blocos de IPS chineses, eu libero apenas a 80 e 25 in/out no firewall, o resto eu bloqueio.

A questão é… Como saber os blocos da APNIC para que possamos avaliar e bloquear? Simples, basta pegar os últimos reports da APNIC e utilizar um pouco de regex e fazer upload via shell no router ou firewall.

Nesta url tem os últimos registros da APNIC de blocos divulgados: ftp://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-extended-latest

PS: Claro, ips chineses podem tunelar, comprar blocos africanos e propagar no seu ASN, fazer uso de um hosting… e etc..

Instalando Fail2ban no Debian Wheezy!

12 de junho de 2013 Deixe um comentário
Fail2Ban

Fail2Ban

Evitando ataques bruteforce de SSH utilizando o Fail2ban

Atualmente ataques bruteforce (força bruta, aquele em que o atacante tenta n possibilidades de usuário/senha por segundo até conseguir quebrar a senha e entrar no sistema) estão muito mais frequentes do que nós imaginamos, basta uma leitura rápida (like debian) no arquivo auth.log para visualizarmos a quantidade de tentativas com milhares de usuários e senhas por dia.

O que cabe a um administrador de redes é prevenir o sistema contra estas ações maliciosas que muitos robôs e máquinas zumbis são programadas para fazer. Para evitar ataques deste tipo, eu utilizo algumas acl’s na borda e o Fail2Ban no firewall que analisa o tráfego e dependendo da análise ele bloqueia o IP ou range de ip por tempo determinado inserindo regras no firewall. O bom é que não é apenas no protocolo SSH, você pode configurar para conexões SMTP, TELNET, FTP e etc…

O Fail2Ban na verdade é uma estrutura de prevenção de intrusão, escrito na linguagem de programação Python que filtra os logs de entrada de logins no sistema e a partir desta análise insere regras no firewall para bloqueio destes acessos.

Em distribuições Linux Debian e like Debian você pode instalar via apt-get com o comando:

# apt-get install fail2ban

Ele irá instalar automaticamente. Após instalar você deve configurar o fail2ban editando o arquivo:

# vim /etc/fail2ban/jail.conf

Algumas variáveis importantes deste arquivo são estas:

  • “ignoreip” se encontram os endereços de IPs que não vão ser bloqueados pelo programa.
  • “bantime” se encontra o tempo em que o IP ficará banido/bloqueado pelo programa (o tempo é contado em segundos).
  • “maxretry” temos o número máximo em que o IP pode tentar logar-se no seu servidor até ser bloqueado (recomendo que ponha no máximo 3).
  • “logpath” refere-se ao arquivo de log onde são checadas as tentativas frustradas de login.

Recomendo que antes de editar o mesmo, você faça um backup do arquivo evitando que seja feita qualquer equívoco no fileconf do fail2ban:

# cp -ar /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.ori

Feito o backup, vamos implementar algumas configurações básicas editando o arquivo

# vim /etc/fail2ban/jail.conf

Importante inserir alguns hosts ou range de hosts que não serão bloqueados, afinal ninguém bloqueia a si mesmo. Então na linha ignoreip coloque o ip de localhost e o range da sua rede a qual você não gostaria de bloquear, deixe separados por um espaço:

ignoreip = 127.0.0.1/8 192.168.0.0/16

Após isso, sete a variável bantime para o tempo que você deseja que o ip fique bloqueado no firewall. Este tempo é em segundo, eu geralmente configuro um ban para 10 minutos. Se você quiser banir o IP ou range permanentemente, basta atribuir a esta variável um valor negativo.

bantime  = 600

Configure o tempo de varredura em segundos passados em que o Fail2Ban procura por IP’s abusivos ao sistema.

findtime = 600

E por final configure o número máximo de entradas frustradas que o atacante tentou acessar seu sistema errando login e senha.

maxretry = 3

Pronto, salve o arquivo e reinicie o Fail2ban:

# /etc/init.d/fail2ban restart

O programa está configurado e poderá ver ver os IPs bloqueados em /var/log/fail2ban.log.

Quando um atacante for bloqueado, ao tentar acessar seu servidor ele irá exibir a mensagem de conexão recusada para o atacante, algo similar a mensagem abaixo:

ssh: connect to host 10.10.58.5 port 22: Connection refused

No iptables, você visualiza as regras inseridas através da sintaxe:

iptables -nL fail2ban-ssh

Que deverá listar algo assim:

root@takakaos:/etc/fail2ban# iptables -nL fail2ban-ssh

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
REJECT     all  --  10.10.58.5        0.0.0.0/0            reject-with icmp-port-unreachable
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Para remover basta inserir o comando abaixo com o numero da regra (chain number) que você deseja remover. No meu caso seria remover o bloqueio para a primeira regra, que contém o IP 10.10.58.5

iptables -D fail2ban-ssh 1

Ou através da remoção do ip bloqueado (notar se na exibição do bloqueio através do iptables, a chain está dropando -j DROP ou está rejeitando -j REJECT)

iptables -D fail2ban-ssh -s 10.10.58.5 -j REJECT

Qualquer dúvida você pode acessar o manual (in english) na url abaixo.

http://www.fail2ban.org/wiki/index.php/MANUAL_0_8

Nota: Versão utilizada: 0.8.9-1